توضیحاتی در رابطه با هک شدن وی بی ایران

درود.

متاسفانه در روز 6 بهمن ماه شاهد هک شدن سایت توسط گروه خاصی از هکران ایرانی بودیم .

در وهله اول باید خدمتتان عرض کنیم که مشکل ایجاد شده به امنیت سرور و سایت وی بی ایران مربوط نبوده بلکه هک با سوء استفاده از سطح دسترسی مدیران بوده است .

بر طبق لاگ هایی که بررسی کردیم .

هک توسط یوزرنیم H0sseiN با سطح دسترسی کامل ( Super Administrator) انجام گرفته است .

آی پی هکر نیز موجود می باشد ( 2.179.87.101 ) .

لازم به ذکر است که هکر با روشی پسورد ایشان را پیدا کرده و از طریق آن وارد سایت شده است سپس از طریق پیغام های خصوصی که ایشان به Hamed.Ramzi داده اند یوزرنیم و پسورد مد سی پی دزدیده شده است (پیام های خصوصی-H0sseiN-2012-01-27.txt ):

================================================== ==============================از : H0sseiN
به : Hamed.Ramzi
تاریخ : 2012-01-25 12:08
عنوان : پاسخ : سلام
--------------------------------------------------------------------------------

نوشته اصلی توسط Hamed.Ramzi

سلام حسین جان


داداش یعضی وقتها کاربرا یک چیزی میخوان که ادم نیلز به پنل مدیریت داره مثل این اخری که میگفت پستم تایید کنید و با کمال شرمندگی منم گفتم دسترسی ندارم


دادا اگه زحمتی نیست و امکان داره به منم این پسورد رو بدید (البته اگه صلاح است)


لا تشکر

درود


تایید پست که از خود تاپیک انجام میشه!
به هرحال برای کارهای دیگه لازمتون میشه modcp
پسورد معمولا تغییر میکنه هر موقع دسترسی نداشتید اعلام کنید.


یوزرنیم: modsipi
پسورد: sipimod

لاگ این قسمت :

کد:

176.9.215.249 - - [26/Jan/2012:14:00:00 +0330] "GET /private.php?do=downloadpm&dowhat=txt HTTP/1.1" 200 217094 "http://www.vbiran.ir/private.php?folderid=0&pp=50&sort=date&page=11" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"176.9.215.249 - - [26/Jan/2012:14:05:59 +0330] "GET /private.php?folderid=-1 HTTP/1.1" 200 19044 "http://www.vbiran.ir/private.php?folderid=0&pp=50&sort=date&page=6" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"176.9.215.249 - - [26/Jan/2012:14:06:46 +0330] "GET /private.php?do=downloadpm&dowhat=txt HTTP/1.1" 200 217180 "http://www.vbiran.ir/private.php?folderid=-1" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

جالب است بدانید در این مدت مدت هیچ تاپیکی بر طبق گفته های Special_one برای تائید وجود نداشته است !

لذا دلیل ایشان برای درخواست پسورد نا معلوم است . ولی ما به هیچ وجه نمیتوانیم کسی را متهم به کاری کنیم.

از طریق پسورد مد سی پی پسورد ادمین سی پی نیز حدس زده شده است چرا که به این صورت بوده است :

adminsipi
sipiadmin



قسمت های دیگری که در تصویر فوق میبینید نیز از پیغام خصوصی های بنده به ایشان بوده است . مثلاً :



بعد از آن توسط سیستم پلاگین ویبولتین شل آپلود شده و ..

لازم به ذکر است که افراد مذکور توانایی تهیه بکاپ از سرور را نیز نداشته اند .

فول بکاپی که مدیر سایت ( جناب H0sseiN ) برای مشکلات احتمالی آپگرید به 4.1.10 در نظر گرفته اند به public_html آورده شده و سطح دسترسی آن تغییر و از سرور چندین بار کشیده شده است .

خوشبختانه با پشتیانی شبانه روزی هاست دی ال مشکل حل شده است .

موارد ذکر شده کاملاً بر طبق لاگ های گرفته شده از سرور می باشد و در صورت لزوم برای روشن شدن موضوع لاگ هر قسمت در سایت قرار میگیرد .

برخی از یوزر ها بصورت موقت کاربر ساده شده اند و به زودی به سمت قبلی خود باز خواهند گشت .

با تشکر از شکیبایی شما و همچنین تشکر فراوان از تکنسین هاست دی ال

موفق باشید ،

وی بی ایران

دموکراسی را پس زدید.

بسته شد.