• ¡Welcome to Square Theme!
  • This news are in header template.
  • Please ignore this message.
مهمان عزیز خوش‌آمدید. ورود عضــویت


امتیاز موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
Title: بالا بردن امنیت سایت و فروم خود
حالت موضوعی
#1
به نام اهورامزدا

درود

در این تایپک قصد داریم برای بالا بردن امنیت فروم های mybb بحث های کنیم لذا این بحث ها کلا برای کسانی که با سیتسم های مثل wordpress , mybb و .... سر کار دارند برای بالا بردن امنیت بسیار خوب هست.

نویسنده مقاله امین منصوری

منتشر کننده : www.parsicoders.com

در پی اتفاقات اخیر و هک شدن چندین سایت ایرانی و همچنین یکی از مهم ترین فروم های پشتیبانی ایرانی mybb تصمیم گرفتم مباحث امنیتی برای بالا بردن امنیت کاربران ارائه بدهند.

لذا این مباحث امنیت 100% رو تایید نمیکند ولی کار بسیاری از هکرها رو سخت تر میکند.

1.اولین قدم برای امنیت انتخاب هاستی هست که امنیت بسیار بالایی ارائه کنید امنیت شما بصورت 100% باشه ولی هاست بی امنیت باشه بی فایدست.

بسیاری از هاست های ایرانی دیدم امنیت رو انچنان رعایت نمیکردن وقتی یک سرور خوب کانفیگ نشده باشه و مدیر سرور چند خط از امنیت و یا باگ های که گذارش میشه برطرف نکنه ,ضربه های جبران ناپذیری به بار میاره

یک هاست خوب اولین قدم باید از حملات تکذیب سرویس یا همان Ddos مقابله کند.

2.بکاپ روزانه از سایت شما بصورت اتوماتیک گرفته شود.

3.خوب کانفیگ شده باشه

4.مدیر سرور با ارائه باگ ها و مباحث امنیتی که ارائه میشه سریع باگ رو برطرف کنن

و ....

مثلا وب سرور اپاچی که بیشتر سرورها ازش استفاده میکنند با ارائه نسخه های جدیدتر بسیاری از باگ ها فیکس شده است بخاطر همین مسئله اپدیت نکردن بعضی از باگ ها فیکس نمیشن و امکان جمله کردن به سرور رو بیشتر هدایت میکنه

پیوست :

وب سرور اپاچی اپن سورس هست و به زبان سی نوشته شده است و 49 درصد سرور ها اپاچی روشون نصب شده است !


اولین قدم برای امنیت شروع میکنیم به روش های هک در واقع بهش میگیم بالا بردن امنیت کاربری در برابر حملات هک

1.برای وارد شدن به فروم خود به هیچ عنوان از سیستم دیگران استفاده نکنید حتی سیستم برادرتون به چه علت :

اگر توی سیستم کیلاگر تروجان پس سندر نصب شده باشد پسوورد ادمین بصورت کامل ارسال میشه و میتونن وارد فروم یا سایت شما بشوند.

سیستم دوست من یا برادر من دارای انتی ویروس ناد 32 هست ارجینال هست و اپدیت شده است.

بسیاری از کیلاگرها هستند که هیچ کدوم از انتی ویروس ها قابلیت شناسایی ندارن و در وافع بهشون میگیم Undetect !

خوب بهترین روش برای بالا بردن امنیتم در برابر همچین هکرهای چیست ؟

1.یکی از روش های هک که بسیار کاربر داره در ایران روش مهندس اجتماعی

اعتماد فرد رو جذب میکنیم و معمولا اینطوری میشه :

این برنامه رو دوست عزیزم دانلود کن لیست موزیک های جدید رو از سایت ... بهت میده معمولا هکر سعی میکنه برنامه ای انتخاب کنه که کاربرو وسوسه به دانلود کنه

شما برنامه رو میبینید و هیچ چیزی احساس نمکنید اما در پشت صحنه اتفاقهای بسیار بدی ایجاد میشه

بنظر من انتی ویروس اویرا نسخه حرفه ای رو نصب کنید از ویندوز 7 پک 1 اونم کرک کنید و تمامی پچ های امنیتی رو روی سیستم خودتون نصب کنید.

چون که بعضی از دوستان عزیز با نرم افزار metasploit و بدون فرستادن فایل میتونن به سیستم شما ارتباط برقرار کنن البته ذکر کنم ای پی ولید هم کارشون رو راحت تر میکنه

از ای پی خود محافظت کنید اونم با استفاده از و ی پی ان و .. .. . . شکن و برنامه های تغییر ای پی

در هنگام ورود به فروم و وب سایت خود از on-Screen Keyboard استفاده کنید در واقع بهش میگیم صفحه کلید مجازی وقتی پسوورد خودتون رو میخواهید وارد کنید حتمی از کیبرد مجازی استفاده کنید با این کار بسیاری از پسوورد سندر ها و کیلاگرها رو به راحتی دور خواهید زد.

کافیه در منوی استارت در بخش سرچ عبارت زیر رو سرچ کنید :

on-screen keyboard

پیشنهاد میکنم همیشه از مرورگرهای مثل گوگل کروم یا فایرفاکس انتخاب کنید همیشه هم با ارائه نسخه جدید حتمی اپگرید کنید.

اینترنت اکسپلور 9 به خوبی در برابر حملات xss مقاومت میکنه پیشنهاد من نصب گوگل کروم میباشد.

در وب سایت ها و فروم ها گزینه ای به نام فراموش کردن پسوورد هست و از شما درخواست ایمیل میکند وقتی که ایمیل رو وارد کردید میتونید پسووردتون رو ریسیت کنید.

خوب برای مدیران وب سایت ها و فروم ها یک ایمیل کاملا خصوصی در نظر بگیرید سعی کنید در ثبت نام

سال ماه و روز

کد پستی

شهر

کشور

و عبارت مورد نظر رو برای ریسیت کرد پسوورد چیزی بدهید که بصورتی باشه که هیچ کس نتونه حدسشو بزنه

همیشه هم سعی کنید شماره موبایل خودتان یا شماره کارت ملی و یا ..... پسوورد خود قرار ندهید.

از حروف و عدد در پسوورد خودتون استفاده کنید.

توی پوشه backup فروم mybb و .. خود دیتابیس رو میشه ذخیره کرد.

من در بسیاری از فروم ها میبینیم که کاربر از یک پلاگین ناراضیه و یا نمیتونه نصبش کنه و بعضی ها میگن پسوورد کل رو به ما بدهید تا چک کنیم.

به هیچ عنوان این کار رو نکنید در فروم mybb به فرض کاربر میتونه راحت بکاپ دیتابیس شما استفاده کنه هم امنیت خودتون و هم مطالبتون و هم امنیت کاربران خودتون رو کاملا به خطر میندازید دیتابیس وقتی به دست کسی بیفته یعنی همه چیز !

پس به هیچ عنوان حتی اگر فرد بهش اطمنیان 100 دارید ولی باز از لحاظ امنیت سیستم دوست خودتون هم اعتماد نکنید !

سعی کنید بکاپ دیتابیس رو از سی پنل phpmyadmin بگیرید و وقتی هم که گرفتید روی دیتابیس با برنامه winrar پسوورد بزارید حداقل تعداد پسوورد 16 رقم

چون به روش دیکشنری میتونند حتی پسوورد همین winrar هم پیدا کنند ولی تعداد رقم بره بالا کار رو خراب میکنه

یکی از روش های هک دیگه صفحات تقلبی به فرض من یک صفحه دقیقا مثل mail.yahoo.com میسازم و کاربر رو دعوت میکنم دقیقا یک صفحه مثل یاهو میبینم اما url رو چک کنید متوجه میشید.

به هیچ عنوان پسوورد ایمیل خود رو در جاهای به غیر از ارائه دهندگان ایمیل مثل www.yahoo.com یا www.gmail.com و ... ندهید.



ادامه دارد ......
گروه دور همی پارسی کدرز
https://t.me/joinchat/GxVRww3ykLynHFsdCvb7eg
 
پاسخ
#2
بیشتر سرورها بصورت share شده هستند یعنی تنها فقط سایت شما روی اون سرور نیست و برای اینکه بفهمیم چه سایت های رو اون سرور هست باید چکار کنیم ؟
به سایت زیر بروید :
http://www.yougetsignal.com/tools/web-si...eb-server/
حالا نام دامین خودتون رو بدید به فرض
کد:
parsicoders.com
میبینید یک لیست دامین به شما میدهد همه این دامین ها روی سرور میباشد و منم یکی از همین سایت ها که روی سرورم به اطلاعات زیر توجه کنید :
کد:
Found 137 domains hosted on the same web server as parsicoders.com (96.127.142.210).
137 سایت بر روی سرور قرار دارند که یکیشون فروم پارسی کدرز هست و ای پی سرور هم 96.127.142.210 میباشد.
میگردیم داخل این سایت ها هر کدوم که بشه شل روش اپلود کرد به طریق مختلف انالیز و بررسی میکنیم حتی اگر در بیا این سایت همه امنیخوبی داشتن روش زیر رو انجام میدهیم :
خوب بعضی از هکرها میدیدم وقتی نمیتونستت سایت رو هک کنند اولین قدم زنگ میزدن به مدیر هاست و درخواست یک اکانت تست میکردن
وقتی بهشون داده میشد سریع یک شل اپلود میکنند در واقع معنی شل اینه که نفوذگر میتونه کنترل سیستم رو دست بگیره در واقع میگن طرف شل گرفته
وقتی سرور امنیت پایینی داشته باشه وقتی شل رو اپلود کردیم به راحتی میتونیم دسترسی بگیریم و هر بلایی که دوست داشتیم سر سرور بیاریم.
اینها دیگه بستگی به مدیر سرور داره که ایا خوب کانفیگ کرده باشه ایا انتی ویروس شناسایی میکنه شل ها رو و .....
من خودم برا یک شرکت وب سایت طراحی کردم و پسوورد سی پنل رو بهشون دادم وقتی کارشون تمام شده بود هر چی شل بود اپلود کرده بودن روی هاستشون
به راحتی مدیر هاست زنگ زد و گفت لطفا شل ها رو پاک کن روی سرور ولی اگر سرور خوب کانفیگ نشده بود دسترسی کامل به سرور داشتن و میتونستن همه کاری انجام بدن !
خوب چگونه راحت بفهمیم سرور باگ امنیتی داره و سایت خودمون ؟
اولین قدم اینه که سایت یا فروم خود رو همیشه به اخرین نسخه اپدیت کنید و بعد میریم سراغ اسکن کردن
روش های دستی و اتوماتیک و روش های بسیار مختلفی هست برای پیدا کردن باگ من راحت ترین رو بهتون اموزش میدهم :
نرم افزار Acunetix که یکی از بهترین اسکنرها هست و معمولا بیشتر هکرها هم ازش استفاده میکنن
برای دانلود و نسخه های حدید میتونید از لینک زیر استفاده کنید :
http://parsicoders.com/showthread.php?tid=1619
برنامه نصب کنید حتمی کرکش هم کنید بعد از نصب کردن برنامه باز کنید
دکمه new scan رو بزنید و ادرس دامین خودتون رو تایپ کنید.
بصورت تصویر زیر :
[عکس: tb9i2wajntokda77kgh9.jpg]
حالا همینجور next بزنید و تنظیمات رو بصورت پیش فرض قرار بدید.
ادامه دارد ....
گروه دور همی پارسی کدرز
https://t.me/joinchat/GxVRww3ykLynHFsdCvb7eg
 
پاسخ
#3
بعد ازنکه جست و جو به پایان رسید میتونیته نتیجه رو مشاهده کنید.
باگ های یکیشون اصلا باگ به حساب نمیاد فقط یه خرده ایرادات کوچلو هست به نام Informational باگ های بعدی low هستن یعنی خطر کمی و باگ بعدی Medium این نوع باگ ها در حالت نرمالی هستند ولی خوب میشه جورایی ازشون استفاده کرد و باگهای رده High باگ های بسیار خطرناکی هستند و حتما باید برطرف بشند.
پیوست :
[عکس: qy1z3qo3zkzxwv5ksh74.jpg]
به دلایل امنیتی توضیحاتی نمیتونم بدم ولی خوب این نوع باگ ها رو دیدید برطرف کنید و در بالا گفتم که چطوری میشه ای پی سرور رو بدست بیارید همون ای پی هم اسکن کنید اگر باگ های خاصی دیدید پس بدونید این سرور قابل اعتماد نیست.
و همچنین برنامه Acunetix رو حتما اپدیت کنید در داخل برنامه میتونید اپدیت کنید.
با اینکار بسیاری از باگ های اماده که بعضی از هکران عزیز کارشون رو راحت تر میکنه رو جلوگیری میکنید.
خود سایت mybb چندین صفحه وردی پنل ادمین در نظر گرفته
با اینکار نفوذگر یه کم اذیت میشه برای ورود به پنل اصلی چندین صفحه تقلبی ساخته شده شما هم میتونید همچین کاری کنید.
اما نظر من اینه رو پوشه Admin و backup هم پسوورد قرار بدهید روی inc هم میتونید بزارید .
وارد سی پنل سایت خود شوید
گزینه Password Protect Dirctories رو انتخاب کنید طبق تصویر زیر :
[عکس: ohhrej711wz4k7ytfpq.jpg]
و حالا بر روی پوشه خود پسوورد بگذارید.
به این صورت :
[عکس: 3qy5wi3wf1vn2un9t8lj_thumb.jpg]
پسوورد با پسوورد فرومتون یکی نباشه حداقل کارکتر 12 رقم در نظر بگیرید یوزر هم بالای 9 کارکتر
و حالا روی دکمه و بعد دکمه
add/modify authorized user کلیک کنید .
روی پوشه های از قبیل inc و admin و backup حتما پسوورد بزارید پسوورد همه هم یکسان در نظر نگیرید.
ادامه دارد ....
گروه دور همی پارسی کدرز
https://t.me/joinchat/GxVRww3ykLynHFsdCvb7eg
 
پاسخ
#4
سلام امیر جان، ممنون از مطلب. یه راه دیگه هم وجود داره که اگه وب سایت SQLi بشه، و یوزر پاس ادمین پیدا بشه نتونن به قسمت ادمین سایت دست رسی‌ پیدا کننبسیاری از CMS مثل جوملا یا وردپرس پوشه ادمین دارن، که می‌شه از طریق سیپنل رو پوشه ادمین پسورد گذشت.
 
پاسخ
#5
درود
حرفتون درسته
البته تایپک زیر هم دوستان ببینند :
http://www.parsicoders.com/showthread.ph...ge=english
 
گروه دور همی پارسی کدرز
https://t.me/joinchat/GxVRww3ykLynHFsdCvb7eg
 
پاسخ
  


موضوعات مشابه ...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  راهکارهای امنیت سایت website security shimasgs 0 1,308 03-04-2017، 02:26 AM
آخرین ارسال: shimasgs
  جزوه آموزشی ISMS یا سیستم مدیریت امنیت اطلاعات FarazNetwork.ir 2 8,562 03-02-2017، 02:00 PM
آخرین ارسال: irhotelbooking
  افزایش امنیت : آموزش تصویری عوض کردن پسورد مودم ADSL Kei armin 27 76,033 03-13-2014، 12:44 PM
آخرین ارسال: Amin_Mansouri
  هک شدن سایت najib67 2 2,965 08-03-2013، 03:30 AM
آخرین ارسال: najib67
  نرم افزار امنیت یو اس بی COME YA MAHDI 2014 USB Security System پنام 8 9,329 02-11-2012، 11:11 PM
آخرین ارسال: پنام
  اموزش امنیت کامپیوتر شخصی Ghoghnus 10 11,296 06-15-2011، 11:56 AM
آخرین ارسال: Amin_Mansouri
  هشدار به کاربران فروم ها Amin_Mansouri 2 3,003 05-30-2011، 10:08 AM
آخرین ارسال: Amin_Mansouri
  آموزش امنیت شبکه cissp key-one 0 3,065 05-04-2011، 11:08 AM
آخرین ارسال: key-one
  امنیت در پایگاههای داده ای amir 0 3,065 05-03-2011، 04:31 AM
آخرین ارسال: amir
  کلیــــــاتی درباره امنیت شبکه amir 0 2,836 05-03-2011، 04:30 AM
آخرین ارسال: amir

پرش به انجمن:


Browsing: 2 مهمان