سلسلة اختراقات ارجو معرفة السبب

دمـ السحاب ـع

السلام عليكم ورحمة الله وبركاته

قبل يومين صارت في سيرفري اختراقات لأكثر من ثلاث منتديات بربع ساعه

والطريقه عن طريق حقن القواعد
حاولت اعرف من وين ماقدرت رحت شفرت ملفات الكونفق وغيرت مكانهم

ورجعت كل شي تمام

ولما جيت البارحه لقيت اربع مواقع وتم الاختراق لها بأقل من خمس دقايق
يعني رقم قياسي مايعرف يمزح الخبل

المهم

رحت افتش بالسيرفر

لين حصلت ملف اسمه
a7.zip
حاولت الدخول عليه مافيه فايده
حاولت انزله عندي رافض ينزل
لا عن طريق الشل ولا الاف تي بي ولا غيره
حتى الحذف ما انحذف الا بعد حذف الموقع كامل
بعد ما اخذت نسخه من القواعد وحذفته

الملف هذا كان فيه تحته اربع ملفات
اذا فتحتها تجي على شكل مستندات نصيه او صفحات انترنت هتمل
لكنها بدون امتداد

وكانت كذا بالضبط

www.xxx.com/a5
www.xxx.com/a6
www.xxx.com/a78

انا جايبها لكم بالنص

قلت خلني اشوف وش فيها
لقيت فيها ملفات الكونفق اللي بالمواقع الاخرى على نفس السيرفر

يعني اسم اليوزر والباسوورد وطبعا
وكل شي موجود في ملفات الكونفق
وفيه طبعا
ملف حصلته وهو اللي تحط فيه معلومات القاعده
وتضع الاندكس
يعني الطريقه الحين فهمنا من وين دخل
لكن اللي بعرفه كيف اولا عرف معلومات القواعد
وكيف رفع ملفاته
وانا اساسا ملفات الشل لا تعمل في سيرفري
لأني حاولت كثير ارفع ملفات شل ولا تشتغل
المهم الحين ابي اعرف كيف صارت كل هالحوسه
ياليت احصل حل للسوالف هذي
فمان الله

Qtr Linux

اخوي ,, ومن قال لك الشل ما يشتغل

المهم
الحين أنت راعي استضافة , صح ؟؟

حلو ,, قفل الموقع يلي فيه ملفات الكونفيق بمتداد txt
الهكر قدر يقرأ الكونفيق عن طريق ثغرة سايم لينك
وحتى لو قفلت دالة سايم لنك ,, راح يقدر يسحبها بالبيرل
يعني

عطل البيرل

وكل المنتديات لازم تجي و تشفر الكونفيق وتغير مساره الى اسم صعب
مثل
corn_boss.php
فهمت

وحاول تغير مسار الانكلودس وتشفر كل ملفات المنتدى

وادخل لقسم حماية السيرفرات
راح تجد اشياء مفيدة

ومنها برنامج يعلمك بأن احد رفع الشل --> تصل لك رسالة على البريد

وشوف ترايدنت ,, قسم الاستضافات هناك

موفق ان شاء الله

التوقيع

الكبير طول عمره كبير

Qtr Linux

الطريقة ,,, كيفية اختراق هذه المنتديات

سهله جداَ

شوف ,, هو يرفع اكثر من سكربت
يعني سكربت لحقن الاندكس بقاعدة البيانات
ولازم يكون عنده الكونفيق
واحتمال بعد يكون رافع سكربت الاتصال بقواعد البيانات

يعني انه يخترق من بعيد لـ بعيد

اتمنى عرفت الوضع

التوقيع

الكبير طول عمره كبير

ابو تيله

فعل السيف مود وحط هذي الدوال

ورقي php و mysql وapache واضبط اعدادات php.ini و httpd.conf و my.cnf وركب مود سيكورتي


وحاول تعرف من فين انرفعت هذي الملفات في اي يوزر وشوف اليوزر هذا شنو السكربت الي مركبها ومسببه الثغره الي خلته يرفع الملفات

Qtr Linux

شوف اللوج يا الغالي وخلاص

التوقيع

الكبير طول عمره كبير

دمـ السحاب ـع

اقتباس: المشاركة الأصلية كتبت بواسطة qtr Linux    اخوي ,, ومن قال لك الشل ما يشتغل المهم الحين أنت راعي استضافة , صح ؟؟ حلو ,, قفل الموقع يلي فيه ملفات الكونفيق بمتداد Txt الهكر قدر يقرأ الكونفيق عن طريق ثغرة سايم لينك وحتى لو قفلت دالة سايم لنك ,, راح يقدر يسحبها بالبيرل يعني عطل البيرل وكل المنتديات لازم تجي و تشفر الكونفيق وتغير مساره الى اسم صعب مثل Corn_boss.php فهمت وحاول تغير مسار الانكلودس وتشفر كل ملفات المنتدى وادخل لقسم حماية السيرفرات راح تجد اشياء مفيدة ومنها برنامج يعلمك بأن احد رفع الشل --> تصل لك رسالة على البريد وشوف ترايدنت ,, قسم الاستضافات هناك موفق ان شاء الله

صدقني يالغالي شفرت وسويت وماكان فيه فايده
وبالنسبه للشل انا كنت مقفله ابد مايحلم يتحرك الشل من مكانه
لكن توهقت بترقية السيرفر الله لا يعيدها

اقتباس: المشاركة الأصلية كتبت بواسطة qtr Linux    الطريقة ,,, كيفية اختراق هذه المنتديات سهله جداَ شوف ,, هو يرفع اكثر من سكربت يعني سكربت لحقن الاندكس بقاعدة البيانات ولازم يكون عنده الكونفيق واحتمال بعد يكون رافع سكربت الاتصال بقواعد البيانات يعني انه يخترق من بعيد لـ بعيد اتمنى عرفت الوضع

الكونفق كان مشفر بالزند وانا حصلت ملف مرفوع يفك الزند مادري كيف رفعه

اقتباس: المشاركة الأصلية كتبت بواسطة qtr Linux    شوف اللوج يا الغالي وخلاص

ماخليت مكان باللوج مابحثت فيه
ولا فيه فايده

دمـ السحاب ـع

اقتباس: المشاركة الأصلية كتبت بواسطة ابو تيله    فعل السيف مود وحط هذي الدوال كود: dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_access, posix_ctermid, posix_get_last_error, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_mknod, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_strerror, posix_times, posix_ttyname, posix_uname, escapeshellcmd, escapeshellarg, hell-exec, fpassthru, exec, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, php_uname, phpinfo, symlink, glob ورقي php و mysql وapache واضبط اعدادات php.ini و httpd.conf و my.cnf وركب مود سيكورتي وحاول تعرف من فين انرفعت هذي الملفات في اي يوزر وشوف اليوزر هذا شنو السكربت الي مركبها ومسببه الثغره الي خلته يرفع الملفات

ياشيخ انا قبل لا ارقي السيرفر كنت مرتاح

علمي بأخر اختراق من زمان

ومن رقيت وهي تنفتح علي ابواب جهنم

مادري من وين طلع لي

وعلى فكره انا لقيت شلات كثيره لكن اغلبها رافض يشتغل

لكن لقيت ملف في منتدى عندي بنفس السيرفر
وهذا هو مرفق
http://up5.m5zn.com/ghpjd5u0dj0h/saad.rar.htm
الغريب
اني نزلت الملف بالاف تي بي
ورحت رفعته بمكان ثاني رفض يشتغل
مايشتغل الا بنفس المكان فقط
الباسوورد حق استعمال الملف في المواقع هو HITLR
ابي اعرف كيف قدر يرفعه ومن وين
وبعد ايش يسوي هذا الملف
انا حاولت اتعبث فيه
لقيت مميزاته مميزات التحكم بالسيرفر عن طريق ssh
استغربت صراحه
لذلك انتظر منكم الحلول
فمان الله

Qtr Linux

هههه
اخوي الملف يلي تقصده هو CGI-Telnet Version 1.0
يعني

هو شل بلغة البيرل وقوي جداَ
حاول تعطل البيرل يا اخي

التوقيع

الكبير طول عمره كبير

دمـ السحاب ـع

اقتباس: المشاركة الأصلية كتبت بواسطة Qtr Linux    هههه اخوي الملف يلي تقصده هو CGI-Telnet Version 1.0 يعني هو شل بلغة البيرل وقوي جداَ حاول تعطل البيرل يا اخي

هههههههههههههه

والله مابقى شي ماقفلته

اخر شي صار يدخل علي من هنا

clientscript/vbulletin_important.css?v=372

ويرفع اللي هو يبغاه


برايك ينفع لو اعيد ترخيص مجلد vb
من 755 الى 111
عشان مايقدر يتحكم بشي
؟

Qtr Linux

تدري شلون

vb كله خله تصريح 111

وحاول انك تغير مسار الانكلودس
وتشفر كللللللللل الملفات حق المنتدى

التوقيع

الكبير طول عمره كبير