یک سایت هک شده

mohsenshahab · Feb 9, 2009

سلام
می شه بگین این سایت چه جوری هک شده یعنی از چه طریقی تونستن هکش کنن
و اینکه چی کارش کردن که از تو cpanel هم نمیشه به php my admin دسترسی پیدا کرد؟
اینم دسته گل آقا هکره

mrmobile.ir/user/view/comment.php?cmd=1&id=-335%20union%20all%20select%20null,concat(user2,0x20,0x20,0x2d,0x3e,pass),null,null,null,null,null%20from%20login_22

آدرس سایت:
http://www.mrmobile.ir

hba · Feb 9, 2009

به اين ميگند sql inject يعني متغيير هاي وروديي كه ميگيريو باش دستور sql مي زني رو فيلتر نمي كني
اون هم ادامه دستورت با استفاده از متغيير دستورات خودش رو وارد مي كنه

رمز و پسورد هاي برنامه ات رو در مي اره و وارد پنل ميدريت ميشه و اگر امكانات مثل اپلود فايل داشته باشه

كلا سايتت به فنا ميره

mohsenshahab · Feb 9, 2009

سلام
من تمام ورودی ها و خروجی ها رو به دیتابیس فیلتر کرده ام
ممکنه از طریق سشن ها این کار رو کرده باشن ؟
دوم اینکه چه جوری phpmyadmin رو از کار انداختن؟

mohsenshahab · Feb 9, 2009

کدوم نکته رو عزیزم؟

mohsenshahab · Feb 10, 2009

سلام می شه بپرسم چه جوری میتونم دوباره phpmyadmin دسترسی پیدا کنم

foranyone · Feb 10, 2009

به اين ميگند sql inject يعني متغيير هاي وروديي كه ميگيريو باش دستور sql مي زني رو فيلتر نمي كني

میشه در مورد فیلتر کردن توضیخ بدین ، من اصلا آشنایی ندارم.

mohsenshahab · Feb 10, 2009

دوست من اگه میشه مشکلتون رو در یک تاپیک جدید مطرح کنید .اینجوری هم شما سریعتر به جواب می رسین هم ما

ziXet · Feb 10, 2009

mohsenshahab گفت:
سلام می شه بپرسم چه جوری میتونم دوباره phpmyadmin دسترسی پیدا کنم

خب چه اروری میده؟
سرور واسه خودته؟ یا نه؟
میتونی با پشتیبانی تماس بگیری؟
نامردا بدجور inject کردن! شما comment.php رو چک کن.

ziXet · Feb 10, 2009

شما پسورد مدیر رو کجا ذخیره کردی؟
با sql injection نمیشه به فایلهای سرور دستری پیدا کرد! به احتمال زیاد حمله وسیع تر از این حرفا بوده ! یعنی خود سرورو زدن.

ایشالا زودتر درست میشه

mohsenshahab · Feb 10, 2009

سلام Shahkey.com عزیز و ممنون از کمکت
ببینید وقتی می رم تو کنترل پنل(البته دایرکت ادمین ) و می خوام برم به phpmyadmin بدون اینکه از من یوزر یا پسورد بخواد می ره به www.mrmobile.ir !!!!
یعنی اصلا انگار myadmin غیب شده
مطلب بعد اینکه فایل config من دستکاری نشده ولی همین جور که میبینی پسورد دیتابیس به nobody تغییر داده شده
مشکل بعدی اینه که من وقتی فایل index.php رو پاک می کنم این فایل هنوز در دسترسه!!! و پاک نمیشه
آخرین نکته ای که به نظرم میرسه(سرت رو درد اوردم) من با مسئول هاست صحبت کردم به نظر میاد قبلا قصاب بوده یا شاید میوه فروش! چون اصلا متوجه نمیشه من چی میگم
راستی یه مطلب دیگه من خیلی خیلی شک دارم که injection باشه .

ziXet · Feb 10, 2009

mohsenshahab گفت:
سلام Shahkey.com عزیز و ممنون از کمکت
ببینید وقتی می رم تو کنترل پنل(البته دایرکت ادمین ) و می خوام برم به phpmyadmin بدون اینکه از من یوزر یا پسورد بخواد می ره به www.mrmobile.ir !!!!
یعنی اصلا انگار myadmin غیب شده
مطلب بعد اینکه فایل config من دستکاری نشده ولی همین جور که میبینی پسورد دیتابیس به nobody تغییر داده شده
مشکل بعدی اینه که من وقتی فایل index.php رو پاک می کنم این فایل هنوز در دسترسه!!! و پاک نمیشه
آخرین نکته ای که به نظرم میرسه(سرت رو درد اوردم) من با مسئول هاست صحبت کردم به نظر میاد قبلا قصاب بوده یا شاید میوه فروش! چون اصلا متوجه نمیشه من چی میگم
راستی یه مطلب دیگه من خیلی خیلی شک دارم که injection باشه .

سلام مجدد

خب با توجه به اون لینکی که گذاشتی معلومه که injection هست ولی تو پست قبل هم گفتم، من فکر میکنم حمله وسیع تر بوده و به ادمین وارد شئن.
cpanel داری؟
با چه آدرسی به phpmyadmin وصل میشی؟

hba · Feb 10, 2009

inject بوده اين لينك كه دادي ولي بعش ميشه خيلي ساده Shell گرفت هر بلايي سر سايت در اورد مخصوصا كه قصابي گرفتي

بهترين كار از طريق directadmin ‌برو رمز ديتابيست رو عوض كن يا كلا يوزرش رو عوض كن
بعد ببين phpmyadmin مي اد يا نه

اگر خود phpmyadmin نياد بايد به سرور شك كرد چون دسترسي به فايل هاي myadmin فقط از طريق روت گيري سرور بوده

سرورت بايد داغون باشه كه بشه ازش روت گرفت

ziXet · Feb 10, 2009

hba گفت:
inject بوده اين لينك كه دادي ولي بعش ميشه خيلي ساده Shell گرفت هر بلايي سر سايت در اورد مخصوصا كه قصابي گرفتي

بهترين كار از طريق directadmin ‌برو رمز ديتابيست رو عوض كن يا كلا يوزرش رو عوض كن
بعد ببين phpmyadmin مي اد يا نه

اگر خود phpmyadmin نياد بايد به سرور شك كرد چون دسترسي به فايل هاي myadmin فقط از طريق روت گيري سرور بوده

سرورت بايد داغون باشه كه بشه ازش روت گرفت

سلام

میشه بگی چجوری با injection شل میگیرن؟
بعید میدونم تونسته باشن به روت دسترسی پیدا کرده باشن.

mohsenshahab شما ببین سایت های دیگه که از این آقا هست آقا قصاب استفاده کردن مشکل دارن یا نه؟

mohsenshahab · Feb 10, 2009

با چه آدرسی به phpmyadmin وصل میشی؟/QUOTE]
من از طریق دایرکت ادمین به phpmyadmin وصل میشم

بهترين كار از طريق directadmin ‌برو رمز ديتابيست رو عوض كن يا كلا يوزرش رو عوض كن
بعد ببين phpmyadmin مي اد يا نه

کلیک کنید تا باز شود...

این کار رو کردم ولی وقتی روی phpmyadmin کلیک می کنم می ره به اینجا www.mrmobile.ir/phpmyadmin
--------------------------
یه چیز جالب دیگه من همون طور که گفتم صفحه اول سایتم رو عوض کردم ولی همچنان همون صفحه اولیه موجوده!!!
ولی الان که از تو file maneger نگاه کردم دیدم که صفحه ای که جدید گذاشتم وجود داره و اون صفحه قدیمی که پاک شده ولی نشون داده می شه نیست!!!
به نظر شما چه جوریه

ziXet · Feb 10, 2009

mohsenshahab گفت:
با چه آدرسی به phpmyadmin وصل میشی؟/QUOTE]
من از طریق دایرکت ادمین به phpmyadmin وصل میشم

این کار رو کردم ولی وقتی روی phpmyadmin کلیک می کنم می ره به اینجا www.mrmobile.ir/phpmyadmin
--------------------------
یه چیز جالب دیگه من همون طور که گفتم صفحه اول سایتم رو عوض کردم ولی همچنان همون صفحه اولیه موجوده!!!
ولی الان که از تو file maneger نگاه کردم دیدم که صفحه ای که جدید گذاشتم وجود داره و اون صفحه قدیمی که پاک شده ولی نشون داده می شه نیست!!!
به نظر شما چه جوریه

کلیک کنید تا باز شود...

با پروکسی هم امتحان کن.

من حدس میزنم کلا سرور مشکل داره ! شاید هکی هم تو کار نباشه!
با اون قصابه تماس بگیر.

mohsenshahab · Feb 10, 2009

سلام
نمی دونم چی بگم
چند وقت پیش یکی از بچه های مجید انلاین از طریق همین جدول به دیتابیس دسترسی پیدا کرد.من بهش پیام خصوصی دادم/اگه اون بگه از چه راهی استفاده کرده معلوم میشه آقا هکره چی کار کرده.
خودم هم حدس میزنم که هاست هم مشکل داشته باشه

ziXet · Feb 10, 2009

mohsenshahab گفت:
سلام
نمی دونم چی بگم
چند وقت پیش یکی از بچه های مجید انلاین از طریق همین جدول به دیتابیس دسترسی پیدا کرد.من بهش پیام خصوصی دادم/اگه اون بگه از چه راهی استفاده کرده معلوم میشه آقا هکره چی کار کرده.
خودم هم حدس میزنم که هاست هم مشکل داشته باشه

آقا اصلا بگیم زده همه رو داغون کرده! مدیر هست میتونه با روت همه رو درست کنه نمیدونم چی به شما میگه!!؟
به نظر من یک backup از دیتابیست ازش بگیر و هاستینگ رو عوض کن.
به نظر من تو انتخاب سرویس دهنده هاست مهمترین چیز پشتیبانی هست ولی متاسفانه بعضی افراد گول قیمت های ارزون رو میخورن!

mohsenshahab · Feb 10, 2009

ممنون از راهنمایی.
ولی اینجور که بوش میاد اصلا فایل ها رو هاست من نیست
متاسفانه این بنده خدا هم کلی از ما پول گرفت یه هاست درست درمون بهمون بده

mohsenshahab · Feb 10, 2009

سلام از طریق این صفحه به دیتابیس دسترسی پیدا کردن.یعنی با این همه فیلتر باز هم می شه به دیتابیس دسترسی پیدا کرد.اصلا شما اشکال امنیتی تو این کد میبینین که من ندیده باشم

PHP:

 <?php
session_start();
if(isset($_POST['user']) && isset($_POST['pass']))
{
require_once("../config.php");
$user=htmlspecialchars(strtolower(@$_POST['user']));
$pass=MD5(sha1(@$_POST['pass']));
 $user_novalid = preg_replace("([^a-z0-9_]*)", '', $user);
 function sql_quote( $value )
{
    if( get_magic_quotes_gpc() )
    {
          $value = stripslashes( $value );
    }
   
    if( function_exists( "mysql_real_escape_string" ) )
    {
          $value = mysql_real_escape_string( $value );
    }
    else
    {
          $value = addslashes( $value );
    }
    return $value;
} 
$sql="SELECT user,pass FROM `login_22` WHERE (user='".sql_quote($user)."' AND pass='".sql_quote($pass)."')";
$result=@mysql_query($sql);
if(@mysql_num_rows($result)==1)
{
	$_SESSION['username']=$user;
	header("LOCATION:list.php");

	exit;
	}

	else{
	header("LOCATION:loginlogin.php");
	}
	}
	else{
		header("LOCATION:loginlogin.php");
	}
?>