04-15-2012، 11:36 AM
بیشتر سرورها بصورت share شده هستند یعنی تنها فقط سایت شما روی اون سرور نیست و برای اینکه بفهمیم چه سایت های رو اون سرور هست باید چکار کنیم ؟
به سایت زیر بروید :
http://www.yougetsignal.com/tools/web-si...eb-server/
حالا نام دامین خودتون رو بدید به فرض
میبینید یک لیست دامین به شما میدهد همه این دامین ها روی سرور میباشد و منم یکی از همین سایت ها که روی سرورم به اطلاعات زیر توجه کنید :
137 سایت بر روی سرور قرار دارند که یکیشون فروم پارسی کدرز هست و ای پی سرور هم 96.127.142.210 میباشد.
میگردیم داخل این سایت ها هر کدوم که بشه شل روش اپلود کرد به طریق مختلف انالیز و بررسی میکنیم حتی اگر در بیا این سایت همه امنیخوبی داشتن روش زیر رو انجام میدهیم :
خوب بعضی از هکرها میدیدم وقتی نمیتونستت سایت رو هک کنند اولین قدم زنگ میزدن به مدیر هاست و درخواست یک اکانت تست میکردن
وقتی بهشون داده میشد سریع یک شل اپلود میکنند در واقع معنی شل اینه که نفوذگر میتونه کنترل سیستم رو دست بگیره در واقع میگن طرف شل گرفته
وقتی سرور امنیت پایینی داشته باشه وقتی شل رو اپلود کردیم به راحتی میتونیم دسترسی بگیریم و هر بلایی که دوست داشتیم سر سرور بیاریم.
اینها دیگه بستگی به مدیر سرور داره که ایا خوب کانفیگ کرده باشه ایا انتی ویروس شناسایی میکنه شل ها رو و .....
من خودم برا یک شرکت وب سایت طراحی کردم و پسوورد سی پنل رو بهشون دادم وقتی کارشون تمام شده بود هر چی شل بود اپلود کرده بودن روی هاستشون
به راحتی مدیر هاست زنگ زد و گفت لطفا شل ها رو پاک کن روی سرور ولی اگر سرور خوب کانفیگ نشده بود دسترسی کامل به سرور داشتن و میتونستن همه کاری انجام بدن !
خوب چگونه راحت بفهمیم سرور باگ امنیتی داره و سایت خودمون ؟
اولین قدم اینه که سایت یا فروم خود رو همیشه به اخرین نسخه اپدیت کنید و بعد میریم سراغ اسکن کردن
روش های دستی و اتوماتیک و روش های بسیار مختلفی هست برای پیدا کردن باگ من راحت ترین رو بهتون اموزش میدهم :
نرم افزار Acunetix که یکی از بهترین اسکنرها هست و معمولا بیشتر هکرها هم ازش استفاده میکنن
برای دانلود و نسخه های حدید میتونید از لینک زیر استفاده کنید :
http://parsicoders.com/showthread.php?tid=1619
برنامه نصب کنید حتمی کرکش هم کنید بعد از نصب کردن برنامه باز کنید
دکمه new scan رو بزنید و ادرس دامین خودتون رو تایپ کنید.
بصورت تصویر زیر :
![[عکس: tb9i2wajntokda77kgh9.jpg]](http://up.vatandownload.com/images/tb9i2wajntokda77kgh9.jpg)
حالا همینجور next بزنید و تنظیمات رو بصورت پیش فرض قرار بدید.
ادامه دارد ....
به سایت زیر بروید :
http://www.yougetsignal.com/tools/web-si...eb-server/
حالا نام دامین خودتون رو بدید به فرض
کد:
parsicoders.comکد:
Found 137 domains hosted on the same web server as parsicoders.com (96.127.142.210).میگردیم داخل این سایت ها هر کدوم که بشه شل روش اپلود کرد به طریق مختلف انالیز و بررسی میکنیم حتی اگر در بیا این سایت همه امنیخوبی داشتن روش زیر رو انجام میدهیم :
خوب بعضی از هکرها میدیدم وقتی نمیتونستت سایت رو هک کنند اولین قدم زنگ میزدن به مدیر هاست و درخواست یک اکانت تست میکردن
وقتی بهشون داده میشد سریع یک شل اپلود میکنند در واقع معنی شل اینه که نفوذگر میتونه کنترل سیستم رو دست بگیره در واقع میگن طرف شل گرفته
وقتی سرور امنیت پایینی داشته باشه وقتی شل رو اپلود کردیم به راحتی میتونیم دسترسی بگیریم و هر بلایی که دوست داشتیم سر سرور بیاریم.
اینها دیگه بستگی به مدیر سرور داره که ایا خوب کانفیگ کرده باشه ایا انتی ویروس شناسایی میکنه شل ها رو و .....
من خودم برا یک شرکت وب سایت طراحی کردم و پسوورد سی پنل رو بهشون دادم وقتی کارشون تمام شده بود هر چی شل بود اپلود کرده بودن روی هاستشون
به راحتی مدیر هاست زنگ زد و گفت لطفا شل ها رو پاک کن روی سرور ولی اگر سرور خوب کانفیگ نشده بود دسترسی کامل به سرور داشتن و میتونستن همه کاری انجام بدن !
خوب چگونه راحت بفهمیم سرور باگ امنیتی داره و سایت خودمون ؟
اولین قدم اینه که سایت یا فروم خود رو همیشه به اخرین نسخه اپدیت کنید و بعد میریم سراغ اسکن کردن
روش های دستی و اتوماتیک و روش های بسیار مختلفی هست برای پیدا کردن باگ من راحت ترین رو بهتون اموزش میدهم :
نرم افزار Acunetix که یکی از بهترین اسکنرها هست و معمولا بیشتر هکرها هم ازش استفاده میکنن
برای دانلود و نسخه های حدید میتونید از لینک زیر استفاده کنید :
http://parsicoders.com/showthread.php?tid=1619
برنامه نصب کنید حتمی کرکش هم کنید بعد از نصب کردن برنامه باز کنید
دکمه new scan رو بزنید و ادرس دامین خودتون رو تایپ کنید.
بصورت تصویر زیر :
حالا همینجور next بزنید و تنظیمات رو بصورت پیش فرض قرار بدید.
ادامه دارد ....
گروه دور همی پارسی کدرز
https://t.me/joinchat/GxVRww3ykLynHFsdCvb7eg
https://t.me/joinchat/GxVRww3ykLynHFsdCvb7eg