يوم سوالف، في 7 أغسطس القادم

 

العودة   سوالف سوفت > قسم الشبكات والخوادم وقواعد البيانات > الشبكات والخوادم في نظام لينكس
تم اختراق الموقع عن طريق هذا الشل C99shell فهل من حل لمنعه تم اختراق الموقع عن طريق هذا الشل C99shell فهل من حل لمنعه
المدوّنات البحث مشاركات اليوم اجعل كافة المشاركات مقروءة

رد
 
LinkBack أدوات الموضوع
عضو نشيط
تاريخ التسجيل: Sep 2006-
 #1 (permalink)  
تم اختراق الموقع عن طريق هذا الشل C99shell فهل من حل لمنعه


بسم الله الرحمن الرحيم

تم اختراق موقعى عن طريق هذا الشل C99shell

مسحت كل مجلدات الموقع ورجعتها من الاول ورجعت قاعدة البيانات وكل حاجة ومع ذلك الشل اترفع تانى وسادد ثغرات الـ vbulletin اللى اعرفها كلها ... وفى الـ mkportal 1.1.2 ماعتقدش انه نزلها ثغرة على اى موقع خاص بالثغرات ..

ومع ذلك الشل بيترفع تانى

فخلاص انا استسلمت واقتنعت ان الـشل بيترفع على السيرفر وبعيد عن موقعى بس بيتاح له التحكم فى كل المواقع منها موقعى .. ازاى بقا اخلى الشل ميشتغلش على السيرفر .. اكيد فى طريقة ارجو توضـيحها .. اعتقد انها من خلال ssh بس ايه هي مش عارف

ارجو الرد فى اسـرع وقت لأنى مش فاهم اى حاجة






__________________
www.ay-7aga.net
lionhurt غير متواجد حالياً   قديم 26-11-2007, 01:06 AM
رد مع اقتباس
عضو فعال جدا
تاريخ التسجيل: May 2004-
 #2 (permalink)  

الحل انه يتعطل الشيل من حسابك, كلم المستيف يعطله لك ...
بالمناسبة وين حصلت الشيل ؟؟
وايش اسم المجلد, وايش التصريح اللي انت عامله للمجلد ؟؟؟

الله يعينك ...






__________________
جديد !
معرضي ... اضف موقعك الأن
marabe7 غير متواجد حالياً   قديم 26-11-2007, 05:12 AM
رد مع اقتباس
عضو فعال جدا
تاريخ التسجيل: Feb 2003-
 #3 (permalink)  

المشكلة انه لديك ثغرة تمكن من رفع هذا الشل
سد الثغرة و لن يتم رفع الشل






__________________
لمراسلتي
bman غير متواجد حالياً   قديم 26-11-2007, 08:10 AM
رد مع اقتباس
مشرف قسم الشبكات والخوادم وقواعد البيانات
تاريخ التسجيل: Nov 2003-
 #4 (permalink)  

لو السيرفر خاص بك تاكد من اغلاق الدوال تركيب المود سكيورتى ترقية نسخة ال php

اقتباس:
السلام عليكم
شرح تظبيط اعدادات الحماية لسيرفر جديد
1- ترقية السى بانل طبعا هنختار الاعدادا المناسب من ال whm ونستخدم الان اصدار ريليز ونجعلها على اوتماتيك يمكن الترقية من whm او من الشل عن طريق /scripts/upcp ==force
2- تغير باسورد قواعد البيانات
3- ترقية ل php
4- غلق الدوال خطرة ويتم ذلك عن طريق nano /usr/local/lib/php.ini
ثم البحث عن كلمة هنكتب ctrl+ w ونكتب الكلمة ولما تظهر نضيف الدوال جمبهاdisable_function ونضع بجوارها الدوال التالية : "dl,exec,shell_exec,system,passthru,popen,pclose,proc_open,proc_nice,proc_terminate,proc_get_status, proc_close,pfsockopen,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid ,posix_setuid,escapeshellcmd,escapeshellarg,hell-exec,fpassthru,exec,crack_check,crack_closedict,crack_getlastmessage,crack_opendict,psockopen,php_in i_scanned_files,php_u,curl_init, curl_exec,tempnam,symlink,mkdir,ini_restore,phpinfo,posix_getpwuid,error_log,Print_r"
طبعا الدوال كلها لازم تكون فى سطر واحد بجوار كلمة disable_function
ثم نبحث عن كلمة safe_mod ونغيرها من Off الى On طبعا البحث بكتابة ctrl+w ثم تكتب الكلمة وانتر بعد غلق الدوال والسيف مود
هنعمل /etc/init.d httpd restart
5 = تركيب المود سكيورتى
wget http://karempo.com/files/modsecurity...e_1.9.4.tar.gz
tar -zxf modsecurity-apache_1.9.4.tar.gz
cp -r /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.mod.back
/usr/local/apache/bin/apxs -cia -D DISABLE_HTACCESS_CONFIG -cia modsecurity-apache_1.9.4/apache1/mod_security.c
wget http://karempo.com/files//rules.txt
cat rules.txt >> /etc/httpd/conf/httpd.conf
/etc/init.d/httpd configtest
/etc/init.d/httpd restart
====================================
6منع الدخول المباشر للروت واضافة يوزر اخر للدخول طريقة الااضافة لليوزر وتغير بورت الشل
groupadd admin
useradd admin –gadmin
adduser admin -G wheel
passwd admin
ونضع الباسورد مرتين له وبكذا ضفنا اليوزر ونتاكد من ال whm باضفته للويل جروب
هنسيب الشل مقتوح ونجرب نفتح شل تانى وندخل بيوزر ادمن وبعدين نكتب su هيطلب باسورد الروت لو دخل تماما يبقى مافيش مشكلة للوقتى
الوقتى هنمنع الدخول المباشر :
nano -w /etc/ssh/sshd_config
هنبحث عن Protocol 2, 1
هنلاقى فى اول السطر # هنحذفها ونخلى السطر شكله كده Protocol 2
بعدين هنبحث عن دى PermitRootLogin yes
برضو اول ايطسر هنلاقى # نحذفها ونخلى السطر PermitRootLogin no
تغير البورت هنبحث عن Port او 22 السطر بيكون هنا
فوق السطر الى عدلناه لكده Protocol 2 هنخلى السطر كده مثلا Port 8888 او اى بورت اخر ثم
/etc/rc.d/init.d/sshd restart
============================
اعدادات من ال whm :
قائمة : Security
Security Center
Compilers Tweak
هيكون ظاهر disable Compilers
نضغظ عليها
PHP open_basedir Tweak
ندخل ونعلم صح فوق خالص وسيف
Apache mod_userdir Tweak
ندخل ونعلم صح فوق خالص و سيف
Shell Fork Bomb Protection
نخليها enable
=======================
Tweak Settings
The maximum each domain can send out per hour (0 is unlimited): نحدد الرقم الى هو عبراة عن عدد الرسائل الممسوح ارسالها فى الساعة لكل حساب
Prevent the user "nobody" from sending out mail to remote addresses (PHP and CGI scripts generally run as nobody if you are not using PHPSuexec and Suexec respectively.) لو علمنا صح هنا هنوقف ارسال الرسائل عن طيق النو بودى
Always redirect users to the ssl/tls ports when visiting /cpanel, /webmail, etc. اختارها
When visiting /cpanel or /whm or /webmail WITHOUT SSL, you can choose to redirect to:
Hostname
When visiting /cpanel or /whm or /webmail with SSL, you can choose to redirect to:
SSL Certificate Name
--
Stats Programs
الغى الصح من على كل البرامج
The load average that will cause the server status to appear red (leave blank for default): خليها مثلا 10 دى اللمبة الحمراء الخاصة بارتفاع اللود تبقى حمرا عند رقم كام
====================================
System Health
Background Process Killer
علم صح على كل الموجود وسيف
============
cPanel
Upgrade to Latest Version
With your current Update Settings, you will be upgrading to the latest RELEASE build.
Update Settingsنضغط على كلمة
ونختار Automatic (RELEASE tree) واسفل اوتماتيك ايضا
===========
cPanel
Plugins
Name: spamdconf
Name: pro
Name: clamavconnector
نعلم صح على التلاتة دول وسيف
هذه بعض الاعدادات طبفها وان شاء الله خير وهذه طريقة لفحص السرفر من الشلات


اول شيء نقوم بالدخول إلى برنامجك الشيل المفضل لديك , ببيانات الروت ,

ثم تنفيذ الأمر التالي ’

cd / root

ثم قم بأنشاء ملف .txt مثلآ لتخزين النتائج داخل هذا الملف بالأمر التالي ’

touch scan.txt

الأن ما عليك ان تقوم بنسخ الأسكربت ولصقه في برنامج الشيل

egrep "cgitelnet|webadmin|PHPShell|tryag|r57shell|c99shell|noexecshell|/etc/passwd|revengans" /home/*/public_html -R | cut -d: -f1 | uniq > /root/scan.txt

وانتظر حتى ينتهي البحث وقد يطول بعض الشيء على حسبب عدد المواقع لديك ومساحتها ,

بعد الأنتهاء من البحث قم بالدخول إلى الملف التكست الذي قمنا بأنشائه في البداية ,

pico scan.txt

الأن بيظهر لك ملفات الشيل على سيرفرك متواجدة في اي مكان تحديدآ لك ملف شيل ,

كذلك يمكنك ان وجدت ثغرة ما في سكربت لدى عميل عندك ان تتواصل معه لحل المشكلة

اخر شيء اود ان اذكره ان كنت قد قصرت فسامحوني ,

والله يوفق الجميع






__________________
لا علاقة لى باى شركة بعد الان ... اى مشاركة تخصنى انا كارم ابراهيم شخصيا ...
Linux system administrator
كارم ابراهيم غير متواجد حالياً   قديم 26-11-2007, 12:09 PM
رد مع اقتباس
عضو نشيط
تاريخ التسجيل: Sep 2006-
 #5 (permalink)  

الف شكر للاهتمام والرد ..
وجارى تطبيق الطريقة اللى تفضـل بيها الاخ كارم ابراهيم .. وربنا يسـهل






__________________
www.ay-7aga.net
lionhurt غير متواجد حالياً   قديم 27-11-2007, 02:31 PM
رد مع اقتباس
عضو نشيط
تاريخ التسجيل: May 2007-
 #6 (permalink)  

اخوي lionhurt ممكن اسئلك سؤالين .. وانتظر ردكـ .. وراح اديك الخلاصة :-

موقع الملف c99.php
تأكد من وجود ملف tool.php في نفس مسار الملف c99.php

انتظر ردكـ






__________________
-----------
|||||||||||||||||||||
المجموعة العربية للاستضافة والتصميم
www.hos6.com
منتدى المحبه
مجتمع حواري
www.almhba.com
abo naif غير متواجد حالياً   قديم 28-11-2007, 08:19 PM
رد مع اقتباس
عضو فعال
تاريخ التسجيل: Aug 2004-
 #7 (permalink)  

اخوي هذي هي الطريقه ودعواتك

روح الشل واكتب
nano /usr/local/lib/php.ini

بعدين دور على كلمة
disable_function

امحس اللي قدامها كله واطبع
dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, hypot, pg_host, pos, posix_access, posix_getcwd, posix_getgid, posix_getpid, posix_getsid, posix_getuid, posix_isatty, posix_kill, posi

وبعدين ريستارت







Indiana غير متواجد حالياً   قديم 30-11-2007, 04:49 AM
رد مع اقتباس
عضو نشيط جدا
تاريخ التسجيل: May 2007-
 #8 (permalink)  

اخي الكريم
كل هذه الحلول وتعطيل الدوال هى لمنع تشغيل الشل على السيرفر ..
لكن الداء ليس فى ذلك
الداء هى ثغرة ما فى السكربتات الموجودة عندك تمكن المخترق من رفع الشل
يعنى حتى لو عطلت الدوال سيرفع الشل
فابحث عن الثغرة بنفسك فى السكريبتات الموجودة على سيرفرك






__________________
أخى أنت حر وراء السدود ** أخى أنت حر بتلك القيود
إذا كنت بالله مستعصـــمــا ** فماذا يضيرك كيد العبـيـد
مهندس مصرى غير متواجد حالياً   قديم 24-12-2007, 03:01 PM
رد مع اقتباس
عضو نشيط
تاريخ التسجيل: Sep 2006-
 #9 (permalink)  

اقتباس:
المشاركة الأصلية كتبت بواسطة مهندس مصرى مشاهدة المشاركة
اخي الكريم
كل هذه الحلول وتعطيل الدوال هى لمنع تشغيل الشل على السيرفر ..
لكن الداء ليس فى ذلك
الداء هى ثغرة ما فى السكربتات الموجودة عندك تمكن المخترق من رفع الشل
يعنى حتى لو عطلت الدوال سيرفع الشل
فابحث عن الثغرة بنفسك فى السكريبتات الموجودة على سيرفرك
بعد تعطيل دوال عمل الشل .. حتى وإن تم رفع شل عن طريق ثغره بالسكريبتات
فلن يعمل الشل ولن يستطيع الوصل لشىء
والله أعلى واعلم

سلام عليكم






__________________
http://ultimateserv.com.eg
محمد عبد اللطيف محمود خلف
مصر - المحله الكبرى - 5شارع إيهاب صبره - منشية الزهراء
support@ultimateserv.com
ت : 0020103188292
سجل تجارى رقم :33635 المحله الكبرى
ultimateserv.com.eg غير متواجد حالياً   قديم 29-12-2007, 08:57 AM
رد مع اقتباس
عضو جديد
تاريخ التسجيل: May 2007-
 #10 (permalink)  

نريد حل صارما في هذه المشكلة

فعلت كل هذا وملفات الشل وشغالة مازالت ترفع






الدعوة السلفية غير متواجد حالياً   قديم 05-01-2008, 08:47 AM
رد مع اقتباس
مشرف قسم الشبكات والخوادم وقواعد البيانات
تاريخ التسجيل: Nov 2003-
 #11 (permalink)  

الدعوة السلفية اعداد وحماية السيرفر يعتمد على نقاط كثيرة وتختلف من كل سرفر لاخر ايضا الان نزل php 5 apache 2 mod_security 2 تابع التطور وان صعب عليك الامر عليك الجوء لشركة حماية






__________________
لا علاقة لى باى شركة بعد الان ... اى مشاركة تخصنى انا كارم ابراهيم شخصيا ...
Linux system administrator
كارم ابراهيم غير متواجد حالياً   قديم 05-01-2008, 08:51 AM
رد مع اقتباس
رد

« هل ممكن جعل كل البريد الصادر الى موقعي يتحول الى Gmail | كيف حذف حساب من السيرفر »

أدوات الموضوع

تعليمات المشاركة
لا تستطيع كتابة مواضيع
لا تستطيع كتابة ردود
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة


المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
سكربت لاينز وورك الخيالي لادارة المواقع lineswork المفكر العربي تطوير الويب 3 15-06-2008 09:16 PM
الله أكبر ، بشرى سارة ، توبة صاحب موقع 6rab.net قاصد سوالف عامة 19 16-12-2007 10:55 AM
مطلوب سكربت مثل q8car.com Faisal28 تطوير الويب 28 15-09-2007 05:13 PM
يامصممي الإستايلات ..نداءنا لكم ..... feras007 إصلاح وصيانة المنتديات 3 01-06-2006 03:11 PM
تحقيق في (الجزيرة) عن اختراق سعودي أون لاين من قبل إسرائيلي عبد الرحمن تطوير الويب 0 19-12-2000 04:13 AM


الساعة الآن: 10:44 AM بتوقيت المملكة العربية السعودية

الاتصال بنا - الإعلان في سوالف سوفت - سوالف سوفت - الأرشيف - الأعلى - خريطة سوالف - كلية علوم الحاسب بجامعة الملك سعود