تبلیغات در اینترنت

تبلیغات در اینترنتگیفت کارت گوگل پلی
صفحه 2 از 2 نخستنخست 12
نمایش نتایج: از 11 به 12 از 12

موضوع: مشورت | یک باگ امنیتی، در مورد تغییر نام Admincp , Modcp و config.php..

  1. Top | #11
    کاربر سایت

    تاریخ عضویت
    Mar 2013
    ورژن ویبولتین
    4
    نوشته ها
    194
    مورد پسند
    13 بار
    اطلاعات
    Windows 7/Server 2008 R2 Firefox 21.0
    میزان امتیاز
    23

    پیش فرض

    هکر از همین راه ها به انجمنمن نفوذ کرده ولی نمیدونم چطور انجمن رو برگردونم تاپیک هم زدم ولی جواب نگرفتم
    مشکل دیتابیس - صفحه 3




  2. گیفت کارت آیتونز

  3. Top | #12
    کاربر سایت

    تاریخ عضویت
    Mar 2013
    ورژن ویبولتین
    4.2.0
    سن
    17
    نوشته ها
    18
    مورد پسند
    0 بار
    اطلاعات
    Windows XP Firefox 8.0.1
    میزان امتیاز
    0

    پیش فرض

    نقل قول نوشته اصلی توسط کلبه دار نمایش پست ها
    درود

    چونان ضدّحالی بهم وارد شد وختی این باگ رو متوجّهش شدم، که نگو..
    آقا، دو تا مسئله، پس از تغییر فولدرهای Admincp و Modcp و همچنین عنوان فایل config.php وجود داره، که میزنه رسماً بی اعتبار بی اعتبار می کنه این همه تغییر رو.

    یک : در خصوص تغییر عنوان Config.php
    زمانیکه این عنوان رو به "هر" شیزی تغییر میدی، هکر وختی نیابه فایل config.php رو و یا بالاخره بفهمه که فایل config.php روبروش قُلّابیه، مستقیم میره سراغ فایل Class_core.php، و سه سوته، در میاره عنوان فایل کانفیگ اصلی رو..
    پـ رسماً، هیشّی به هیشّی.

    دو : در خصوص تغییر عناوین فولدرهای Admincp و Modcp (مرتبط با گُزینه "یک" فوق)
    عناوین "اصلی" این دو فولدر رو، به "دو" صورت می شود یافت :
    1. (در ادامه گزینه "یک") پس از یافتن فایل کانفیگ، براحتی عناوین "اصلی" عوض شده این دو فولدر لعنتی رو، میشه یافت.
    2. کافیه، هکر با حساب کاربری ادمین (که هکش کرده)، بره تو صفه پروفایل یک کاربر. خیلی راحت، زمانیکه رو تصویر که مربوطه به ویرایش حساب کاربری اون کاربر، براحتی وارد صفه ادمین سی پی اصلی خواهد شد..

    لذا، هرچه تغییر آقا دادیم، تا حالا پوچ میشه..

    یک باگ دیه نیز، موجوده.
    واس تغییر عناوین فولدرهای Admincp و Modcp، می باس عناوین جدید این فولدرها رو، تو فایل Config.php تغییر داد.
    واس تغییر عنوان فایل Config.php نیز، می باس عنوان جدید این فایل رو، تو فایل Class_core.php تغییر داد.
    حال، گیریم عنوان این فایل Class_core.php رو نیز، تو یک فایل دیه تغییر بدیم..
    تا "هر" کجا پیش بریم، آخرش باز یک فایل هس که هکر بتونه این روند درختی رو از داخل اون کشف کنه و طی کنه تا به تمامی عناوین تغییریافته دس پیدا کنه دیه ؟

    آقا اصن، ته ته ته ته ش، واس فولدرهای "تغییر یافته" یا "تغییر نیافته" Admincp و Modcp مون، پسورد بگذاریم..
    زمانیکه جناب هکر، با آپلود یک شل یا هر کوفت دیه ای تو هاست، و یا با "هر" روش دیه ای، به "هاست" دسترسی بیابه، (ار نزنه کلّ فایل های سایت رو حذف کنه !!!،) آیا کاری داره پسوردهایی که ما واس فولدرهای مدیریّتی مون در نظر گرفتیم رو "حذف" کنه ؟؟

    آقا، من رو لطفاً ازین سردرگُمی عضیمی که توش گیرم، خلاص کنید لطفاً

    سپاسم پیش پیشکی

    کلبه دار

    داداش خنده ام گرفت.
    ببین داداش شما باید قبل از اینکه هکر به سایتتون نفوذ کنه جلوش رو بگیرید..
    چون وقتی هکر یک شل آپ کنه دیگه کار از کار می گذره.
    در ضمن ویبولتین هم خیلی باگ های sql injection داری باید اون ها رو یا باید حذف کنی یا باید رفع کنی.
    بعد از اون این ها که باگ نیستن این ها فقط تدابیر امنیتی هستند از جمله اینکه عوض کردن اسم فایل config.php و ... آخه داداش من وقتی هکر می آید با یک شلر ضفحه اصلی سایت رو دیفیس می کنه دیگه چه نیازی به فایل کانفیگ داره.
    البته یه باگ هست که رو ویبولتین نیست باید هکر فایل config.php رو بخونه.
    بعد از اون داداش من فایل های php رو کلاینت ها نمی تونند دریافت کنند فقط از طریق دسترسی به سرور می شه بدستشون آورد وقتی هکر نفوذ کنه دیگه نیازیس به اینها نداره.
    بعد از اون شما بیایی روی وب سرور سورس کد رو بزاری رو on هکر می تونه دسترسی روت بگیره و خط فرمان هاست دستش بیاد که با اون هر کاری می تونه بکنه.
    تنها نصیحت من به شما این است که فقط باگ های sql,rfi,lfi,html,xss,... رو رفع کنی اگر هم رفع کردی برو سایت های روی سرور رو برسی کن چون سایت های روی سرور هم تنها یکی از اینها رو داشته باشه هکر می تونی با آپ یک شل و گرفتن بک کانکت کل سرور رو بگیره.

    نقل قول نوشته اصلی توسط OmidX نمایش پست ها
    admincp و modcp رو rename کن ، بعد با استفاده از Password Protected Directory روش پسورد بزار ... محل فایل config.php رو هم عوض و این فایل رو هم rename کن (پرمیشن این فایل هم باید ۴۴۴ باشه .) ...

    بعد ، فایل Config.php و Class_core.php رو با ioncube یا zend guard کد کن ...

    هزینه کد کردن با ion برای دو فایل میشه ۱ دلار ، که میتونی خیلی راحت از طریق سایتش بصورت آنلاین اقدام کنی : Home - PHP Encoder, protection, installer and performance tools from ionCube


    میتونی از طریق فایل اچ تی اکسس admincp و modcp رو محدود به IP ادمین کنی ، که اینکار رو در ایران (به دلیل آي پی های متغیر) اصلا توصیه نمیکنم .

    هک VB Security هم ، یک هک فوقالعاده برای افزایش امنیت admincp و modcp ه ... این هک که محصول DBTech ه در وی بی ایران ، زیاد مورد استقبال قرار نگرفته ، اما فوقالعاده ست ...


    این حداکثر کاریه که میتونی برای امنیت vBuletin انجام بدی ! ، اما همیشه یادت باشه امنیت مطلق نیست و رمز موفقیت یک وبمستر ، بکاپ گیری منظم از دیتابیس ه !


    با تشکر ...
    جای تعجب نداره.
    داداش من یعنی چی این حداکثر کاری است که می تونی برای ویبولتین انجام بدی.
    داداش اینها همش حرف های مزخرف هستند که هک فلان رو نصب کن و ... اسم فایل کانفیگ رو عوض کن و ...
    شما باید باگ ها رو رفع کنی نه اینها رو اینها باگ نیستن
    یک نمونه از باگ ها رو برات می زارم تا بفهمی بیا این یکی باگ sql است که واقعا توی ویبولتین زیاد دیده می شه
    www.tribpreps.com/game.php?id=9434'

    این هم یکی از سایت هایی که هک کردم با همین روش:
    user: piccolo
    pass
    : cam2011pass
    آدرس پیج ادمین:
    http://www.camiceriapiccolo.com/admin/
    دوستان لطفا پسورد رو عوض نکنید
    ویرایش توسط virangar01 : 2013/05/26 در ساعت 09:11 AM دلیل: ادغام دو پست

صفحه 2 از 2 نخستنخست 12

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. آموزش محدود کردن AdminCP و یا ModCP به یک/چند IP خاص
    توسط VBIran در انجمن مباحث امنیتی
    پاسخ: 43
    آخرين نوشته: 2014/12/25, 03:07 PM
  2. تغییر نام فولدر های Admincp و Modcp و تغییر صحفه م
    توسط stp1 در انجمن مباحث امنیتی
    پاسخ: 6
    آخرين نوشته: 2013/03/17, 09:58 AM
  3. آموزش اضافه کردن تب های admincp و modcp
    توسط Danialskh در انجمن آموزش های وی بولتین
    پاسخ: 0
    آخرين نوشته: 2012/09/27, 10:36 PM
  4. [امنیتی] تغییر مکان AdminCP و ModCP
    توسط VBIran در انجمن مباحث امنیتی
    پاسخ: 3
    آخرين نوشته: 2012/04/04, 12:50 PM
  5. {VB3} اضافه کردن Admincp و Modcp به Navbar
    توسط AmirSina در انجمن آموزش های وی بولتین
    پاسخ: 3
    آخرين نوشته: 2011/04/19, 02:42 AM

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •