آموزش دایرکت ادمین، سی پنل، وب سایت پنل

خانه / امنیت (صفحه ی 2)

امنیت

دستورات پرکاربرد CXS scanner

CXS ConfigServer eXploit Scanner commands

در این پست با برخی از دستورات command های پرکاربرد اسنکر CXS آشنا می شویم.

اسکن یک یوزر خاص :
cxs --user USERNAME
اسکن تمام یوزرها:
cxs --allusers
اسکن یک فایل:
cxs /path of the file
cxs /home/USERNAME/public_html/xmlrpc.php
اسکن در حالت کنترل load سرور
cxs -T [num]
اسکن در background
cxs -B
بروز رسانی نسخه CXS
cxs -U
ارسال گزارش فایل مخرب جدید به دیتابیس cxs
cxs --wttw​ [filename]
اسکن کردن تنها از public_html و دایرکتوری ها داخلی آن
cxs --www [file]
پیوست کردن log نتیجه اسکن به یک فایل خاص
cxs --logfile [file]
حذف فایل های قرنطینه شده
cxs -D

دلایل هک شدن سایت و جلوگیری از آن

– بررسی از طریق scan بوسیاه آنتی شل CXS و ارائه گزارش اسکن
– میتوانید از طریق لینک زیر وضعیت سایت خود را بررسی نمایید.

https://sucuri.net/scanner
https://freescan.qualys.com

– بررسی لاگ های ورود به کنترل پنل و FTP​
​مشکلات اصلی:
قالب ها :
استفاده از قالب  های رایگان و بدون گسترش دهنده.  عموما احتمال اینکه محتوای مخرب در قالب های رایگانی  که در سایت های  متفرقه ارائه می شود بسیار زیاد است، بنابراین توصیه ما این است که هرگز از قالب های آماده استفاده نکنید.
پلاگین ها:
مکانی بسیار مناسبی برای مخفی کردن کد های آلود است، به سه علت :
– کاربران به پلاگین ها دقت و توجه نمیکنند​ و تنها آن را نصب میکنند.
– کاربران علاقه ای به بروز رسانی پلاگین ها ندارد.
– برخی پلاگین های از کدهای ضعیف و دارای احتمال آسیب پذیری استفاده میکنند.
پوشه آپلود:
به عنوان یک مدیر وب سایت هرگز پوشه آپلود را بررسی نمیکند! تنها فایل های خود را آپلود میکنید. آپلود کردن یک backdoor در این پوشه بسیار راحت است زیرا این فایل در میان هزاران فایل دیگر پنهان میشود. از طرفی دسترسی به این پوشه در حالت write قرار دارد و این نفوذ را برای هکر ها آسان تر میکند.
راهکارها:
– از پلاگین های malware scanner  مانند Sucuri (نسخه پرداخت شده بسیار کارامد است)
– حذف کردن قالب های و پلاگین های غیرفعال
– بررسی فایل config و محدود کردن دسترسی به این فایل
–  استفاده از پسوردهای قدرتمند و غیر ساده
– استفاده از password protect برای صفحه ورود به بخش مدیریت
– استفاده از پلاگین های محدود کننده لاگین Login Attempts
– غیر فعال کردن Editor قالب ها و پلاگین ها در داخل مدیریت
– محدود کردن دسترسی ها به پوشه ها و فایل های پر اهمیت
– بروز کردن هسته CMS و پلاگین ها
– حذف دیتابیس های اضافه و بدون کاربرد

۱۰ نوع حمله پراهمیت از نوع DDOS — بخش دوم

با بخش دوم انواع حملات DDOS در خدمت شما هستیم. مشاهده بخش اول

۶- حمله PUSH and ACK

این حمله مشابه حمله  SYN flood است.  push flag از سرور گیرنده تقاضا میکند که داده های موجود در این بسته را بافر نکند و در سریع ترین زمان آن ها را جهت پردازش به برنامه کاربردی( سرویس) مرتبط تحویل دهد ( مانند برنامه telnet)

بنابراین سرور مجبور به پردازش اطلاعات بسته ارسالی میشود. زمانی که بسته های TCP حاوی Push و Ack  بیش از ظرفیت بافر ماشین(سرور) هدف باشد، سیستم قربانی دچار crash میشود.

از جایی که Push وAck پیام بخشی از ترافیک استاندارد می باشد، سیل عظیم چنین درخواست هایی نشان گر وجود حمله است.

روش جلوگیری:

استفاده از معماری Full-proxy برای مدیریت هر مکالمه بین کلاینت و سرور

استفاده از LTM (Local Traffic Manager) یا مدیریت IP پیشرفته (AFM)  جهت استفاده در معماری Full-proxy، جهت شناسایی ترافیک Valid و Drop کردن ترافیک  PUSH and ACK

۷- حمله Land

در این حمله قدیمی  یک بسته TCP SYN جعلی شامل IP و port های باز سرور مقصد ( به شکلی که یک Loop ایجاد شود)، این گونه به نظر می رسد  یک درخواست از سرور(به کمک بسته جعل شده)  به همان سرور ارسال شده است، این موضوع باعث میشود ماشین(سرور) مداوم به خود پاسخ دهد و دچار کمبود منابع شود.

۸- حمله DNS amplification

حمله به سرویس DNS با کمک آدرس IP جعلی (آدرس IP ماشین قربانی) تعداد زیادی درخواست به سرور ارسال میکند، از طرفی چنین آدرس هایی روی سرور قرار ندارد، بدین صورت تعداد زیادی درخواست DNS به سیستم قربانی ارسال می‌شود که باعث مصرف ترافیک و بروز اختلال در سیستم قربانی خواهد شد. بنابراین ماشین میزبان در پاسخ گویی به سیل درخواست ها با مشکل مواجه میشود.

روش جلوگیری:

استفاده از DNSSEC

استفاده از تکنیک های anti-spoofing

استفاده از load balancers و یا استفاده از multi DNS و انتقال ترافیک حمله به سرورهای دیگر با استفاده از IP anycast address

۹- حمله Layer 7

حمله به برنامه های کاربردی در لایه هفتم که در آن توابع خاص از یک برنامه تحت وب مورد هدف قرارمیگیرد. ایجاد ترافیک به وب سایت که همانند ترافیک معمولی می باشد و تشخیص آن نیز مشکل خواهد بود. به عنوان مثال حمله میتواند بروی لوگو و یا یک دکمه وب سایت از طریق دانلود مکرر با درخواست های بسیار زیاد انجام شود که منابع سرور را بشدت درگیر کند. ویا ارسال نظر به یک مطلب یا پست خاص بصورت آبشاری و پی در پی در جهت از کار انداختن سرویس دهی.

روش جلوگیری:

بلاک کردن spoofed TCP قبل از وارد شدن به شبکه شما

بستن پورت هایی که استفاده نمیشوند.

محدود کردن تعداد دسترسی ها برای هر source IP

محدود کردن تعداد کانکشن های همزمان برای هر source IP

فیلتر کردن بسته های TCP ناشناخته دارای هدرهای نامعمول

بررسی ترافیک های مشابه

۱۰- حمله Multi-Vector

این یک حمله خاص نیست، بلکه استفاده از چندین نوع حمله بصورت همزمان و توام می باشد.

جلوگیری و کنترل این نوع حملات به هماهنگی و توانایی های بالاتری در شبکه و سیستم نیاز دارد.

۱۰ نوع حمله پراهمیت از نوع DDOS — بخش اول

با توجه به تفاوت عملکرد و مکانیزم حملات، هدف تمام حملات مصرف منابع در شبکه و از کار انداختن سرویس دهی در سرویس دهنده هدف حمله می باشد. این نوع حملات به صورت گسترده به دو نوع تقسیم میشوند:

  1. حمله با هدف کاهش پهنای باند bandwidth depletion

  2. حمله با هدف از کار انداختن منابع سرویس resource depletion

در ادامه انواع مختلف حملات DDOS آشنا می شویم:

 

۱- حمله سیل آسا بصورت مستقیم (UDP flood and ping flood)

این نوع حمله لایه ۳ و ۴ مدل OSI تمرکز می کند، هدف اصلی حمله سیل آسا به سرور با ارسال ترافیک غیرواقعی و مخرب جهت از کار اندختن منابع سرویس دهنده است. برای مثال اگر شبکه شما قدرت تحمل ۲۰G ترافیک ورودی را داشته باشید، مهاجم با ارسال ۲۱G ترافیک سرویس دهی شبکه شما را مختل میکند.

حملات سیل می تواند بسته های UDP و ICMP به سمت ماشین هدف بصورت مستقیم ارسال کند.

روش جلوگیری:

استفاده از پهنای باند بیشتر

استفاده از load balancer

استفاده از روش های امن سازی شبکه در برابر IP spoofing ( مانند تنظیمات خاص در سوئیچ و روتر)

همکاری با سرویس دهندهای حفاظت در مقابل حملات  DOS -DDoS protection service provider

(مانند CloudFlare ) این سرویس دهنده ها سرویس هایی با نام های DDoS Protection یا

DDoS Protection ارائه میدهند.

۲- حمله Reflection

ایده ای که پشت این حمله وجود دارد جعل(spoof) آدرس IP در بسته منبع ارسالی است. بسته ها طوری تغییر میکنند که به نظر میرسد از مقصد خاصی دریافت شده و  سرویس دهنده پاسخ بست های دریافتی را به منبع ذکر شده باز میگرداند، با تغییر وسیع IP ها و ارسال آن، دریافت کننده ها پاسخ ها را به سرویس قربانی باز میگردانند، این در حالی است که سرویس دهنده قربانی شده اصلا درخواستی ارسال نکرده است اما با سیلی از پاسخ ها مواجه میشود.

روش جلوگیری:

استفاده از تکنیک های  anti spoofing برای شناسایی و  عدم پذیرش آدرس IP هایی با source جعلی (spoofed source IP address)

۳- حمله Smurf and Fraggle

در دو حمله از حفره های موجود در broadcast address روتر استفاده میکند.

در حمله smurf تعداد زیادی از ترافیک ICMP جعلی به آدرس broadcast روتر مورد نظر ارسال می شود، در حالی که یک حمله Fraggle ترافیک UDP ساختگی به   آدرس broadcast یک روتر ارسال می کند.

روش جلوگیری:

باید روتر خود را طوری کانفیگ نمایید که از Exploit بروی broadcast جلوگیری شود.

۴- حمله سیل آسا (TCP) SYN

این حمله از متد three-way handshake در TCP استفاده میکند.  حمله کننده درخواست ارتباط با سرور را با ارسال SYN به سرور ارسال میکند و سرور در پاسخ SYN-ACK را ارسال میکند و منتظر ارسال ACK از سمت کاربر است اما کاربر ACK را ارسال نمیکند و سرور در حالت wait باقی میماند، ارسال تعداد زیاد درخواست ها بدون پاسخ باعث میشود سرور از دسترس خارج شود.

روش دیگر این نوع حمله استفاده از spoofed IP یا IPی جعلی می باشد، یک درخواست با IP جعلی به سرور میرسد و سرور پاسخ را با IP جعل شده ارسال می کند که آن IP درخواست SYN را به سرور ارسال نکرده است، بنابراین client دریافت کننده SYN-ACK هرگز ارتباط را آغاز نمی کند.

روش های زیادی برای پیاده سازی این حمله وجود دارد:

filtering

increasing backlog

reducing SYN-RECEIVED Timer

recycling half-opened TCP connection

SYN caching

SYN cookies

۵ -حمله HTTP Flood (web Spidering

این نوع حمله از طریق crawl کردن وب سایت با استفاده از web spider برای مشغول کردن منابع سرور می باشد.

روش جلوگیری:

اطمینان حاصل کردن از اینکه تنها ربات های شناخته شده امکان دسترسی به وب سایت را دارند.

>قسمت دوم مقاله را مطالعه نمایید.<

سرقت اطلاعات کارت بانک

mobile-banking-370x229

شناختن و دانستن راه های کلاه‌برداری خوب است اما «تبهکاران همیشه یک گام جلوتر از پلیس‌ها هستند»  چرا؟ چون سارقان از نتیجه عمل خود نمی ترسند و در این راه حتی ممکن است جان شما را نیز به خطر بیاندازند، بنابراین از هر شیوه ای که به ذهن برسد استفاده خواهند کرد.

برای دزدی و جعل اطلاعات کارت مغناطیسی بانکی شما (که در ایران استفاده می شود و امنیت بسیار پایینی هم دارند) تنها چند چیز ساده نیاز است:

۱- رمز (گذرواژه/پین کد) کارت
۲- اطلاعات ضبط شده ساده در کارت مغناطیسی که رمزگذاری هم نشده اند.
کارت‌های هوشمند (ویزا، مستر، کارت سوخت و ….) امنیت بسیار بیشتری نسبت به کارت‌های مغناطیسی بانکی رایج در کشور دارند.
۳- کارت‌های مغناطیسی خام که بسیار ارزان و فراوان هستند.

۴- دستگاه کپی و یا رایت روی این کارت ها که تنها کمتر از چند صد هزارتومان قیمت دارند.

در یکی از فیلم های دوربین های دستگاه خودپرداز دیده شد شخصی پشت سر فرد قربانی که در حال وارد کردن اطلاعات کارت خود در عابربانک بود ایستاده و با چشم رمز کارت فرد را مشاهده و در موبایل خود ذخیره کرد. سپس با اشاره به همدست خود که دورتر منتظر است، یک دعوا ساختگی با فردی که در جلو دستگاه قرار دارد به بهانه ایجاد مزاحمت برای خانواده انجام داده و فرد را از جلو دستگاه به سمت دیگری میکشد و این زد و خورد ساختگی ادامه دارد، در حالی که قربانی در شوک به سر می برد و در حال دست و پنجه نرم کردن با ضارب می باشد، فرد اول به جلو دستگاه رفته و کارت او را خارج میکند و از صحنه دور میشود. پس از اتمام درگیری فرد قربانی به دستگاه باز می گردد و مشاهده میکند کارت ا.و در دستگاه نیست و به خیال اینکه دستگاه کارت او را ضبط کرده است صحنه را ترک میکند تا موضوع را از بانک در روز آینده پیگیری کند. اما تا آن زمان حساب او براحتی به سرقت رفته است.

روش های مختلفی دیگری نیز وجود دارد از جمله صفحه کلید (Keypad) روی صفحه کلید اصلی خودپرداز گذاشته می‌شود تا هر کلیدی را که فشار می‌دهید ذخیره کند و زیر آن نیز پایه‌هایی است که در هنگام کار، دکمه های صفحه کلید اصلی هم فشار می‌دهد تا مشتریان بتوانند بدون شک کردن همچنان کارهایشان را با دستگاه انجام دهند.
ضبط کلیدها و دانستن رمز به تنهایی برای دزدان کاربرد ندارد و باید اطلاعات روی کارت شما یعنی چند بایت اطلاعات عددی نوشته شده روی نوار مشکی مغناطیسی کارت را هم داشته باشند تا بتوانند یک کپی از کارت شما برای خودشان Write کنند و با رمزی که از طریق این کیپد به دست آورده اند از کارت شما استفاده کنند! از این رو راهی هم برای خواندن اطلاعات کارت شما باید وجود داشته باشد که یا معمولا یک کارت خوان مغناطیسی ظریف است که در دهانه کارت خوان اصلی خودپرداز گذاشته می‌شود و یا سعی می‌کنند کارت فیزیکی شما را از راهی بربایند!*** دقت کنید که دستگاه‌های دستی کوچک و همراه هم برای کپی کارت وجود دارد که در کمتر از چند دقیقه یک کارت را اسکن و کپی می‌کنند! یعنی اگر کارتتان به دست یک دزد مجهز بیفتد کافیست چند لحظه تنهایش بگذارید تا از کارت کپی بگیرد و سپس کنار دستتان بایستد تا رمزتان را هم بخواند و هر تعداد کپی دقیقا برابر اصل از کارت بانکی شما که بخواهد داشته باشد.

 

متاسفانه تشخیص این ابزارهای شنود و جاسوسی پیشرفته برای افراد عادی اصلا ساده نیست و معمولا کسی هم که میخواهد زود از دستگاه استفاده کند دقت و حوصله چندانی برای وارسی دستگاه به خرج نخواهد داد.

 

ادامه ی مطلب

آسیب پذیری جدی در پلاگین Seo vBulletin

Serious Vulnerability Found in vBulletin SEO Plugin

تیم vbulletin به تمام مشتریان خود را در مورد یک آسیب پذیری امنیتی بالقوه در پلاگین VBseo هشدار داده است. آسیب پذیری (CVE2014-9463) بنا به گزارش  Internet Brands کشف شده است.  از جایی که VBSEO دیگر گسترش پیدا نمیکند بعید است نسخه جدیدی از آن ارائه شود.

برای رفع این مشکل سه راه حل وجود دارد:

– حذف کامل افزونه VBSEO از سایت

اعمال پچ توصیه شده توسط تیم اصلی Vbulletin

– استفاده از فایروال در جهت جلوگیری و بهره برداری از این آسیب پذیری و بسیاری مشکلات امنیتی دیگر.

به نظر با استفاده از دسترسی از راه دور یک اسکریپت HTML غیر تصدیق شده unauthenticated به محتوای سایت inject میشود. ممکن است این تغییر از طریق کنترل کامل خط فرمان انجام شود.البته این موضوع بطور کامل تایید نشده است.

قسمتی از عملکرد این آسیب پذیری بصورت زیر است:

The vulnerability can be patched by removing a couple of lines of code from the vbseo/includes/functions_vbseo_hook.php file. However, vBulletin noted that users should apply these changes at their own risk.

لینک خبر در فروم vbulletin

Data Breach چیست؟

Data Breach

Data Breache یک رویداد است  که شامل دسترسی غیر مجاز و یا غیر قانونی به اطلاعات برای  مشاهده ، دسترسی و یا بازیابی داده های یک فرد، برنامه و یا خدمات می باشد. این یک نوع نقض امنیتی به طور خاص  برای سرقت و  یا انتشار اطلاعات به موقعیت های نا امن و یا غیر قانونی طراحی شده است.

Data Breach به عنوان یک نفوذپذیری شناخته می شود.
Data Breach هنگامی که یک هکر  و یا مهاجم دسترسی غیر مجاز به پایگاه داده امن و یا اطلاعات اتفاق می افتد . هدف Data Breach به طور معمول به سمت  داده های منطقی و یا دیجیتال است و اغلب بر روی اینترنت و یا یک اتصال شبکه انجام میشود.

Data Breach  ممکن است در از دست دادن داده هایی از جمله مالی، اطلاعات شخصی و سلامت منجر شود .هکر نیز ممکن است داده های سرقت شده را در جهت دسترسی به جایگاه و نقطه دیگری استفاده نماید.. به عنوان مثال،  یک هکر از  اطلاعات معتبر بدست امده برای ورود به عنوان مدیر شبکه می تواند در جهت دسترسی  کل شبکه استفاده نماید.

در تصویر زیر ۱۰ داده مهم به سرفت رفته در سال ۲۰۱۳ را مشاهده می نمایید.

databreaches1

فیشینگ چیست؟

Password Harvesting Fishing

what-is-phishing

phishing یک روش فریب کاربر برای بدست اوردن اطلاعات شخصی و مالی کاربران در اینترنت است. پیغام ها و آدرس ها اینترنتی بطوری تغییر داده میشود که کاربر در نگاه اول به اشتباه بودن آدرس صفحه مورد نظر پی نمیبرد. اغلب با جعل صفحات مشابه سایت های معتبر مانند سایت های پرداخت بانک کاربران را فریب میدهند. بنابراین همیشه در هنگام بررسی ایمیل ها و سایت های فروش توجه داشته باشید به چه مسیری برای پرداخت منتقل میشوید. هیچ گاه به ایمیل هایی که از سمت شرکت های معتبر برای شما ارسال شده و بصورت مستقیم یا غیر مستقیم میخواهد مشخصات خود را در لینک مورد نظر وارد کنید، سریعا اعتماد نکنید و با حوصله بیشتری این موارد را بررسی نمایید.

شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وب‌سایت هستند در اکثر موارد حاوی بدافزار هستند. تمام حملات فیشینگ نیازمند وب‌گاه قلابی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند، نیز می‌تواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق آی پی مهیا شده‌است)، از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند.توجه داشته باشید آدرس سایت ها را در زمانی که میخواهید اطلاعات حساب خود را وارد کنید بررسی نمایید و مطمئن شوید در سایت معتبر و یا بانک هستید و نه در یک صفحه شبیه سازی شده با آدرس جعلی!

توجه داشته باشید سایت ها و درگاه های بانکی معتبر از پروتکل امن https در ابتدای آدرس خود استفاده میکنند

یک نمونه از آدرس تقلبی را در تصویر زیر مشاهده میکنید.

fakeaddresss

امن سازی PHP در سرور

فایل config PHP با نام php.ini می باشد و برای یافتن فایل config PHP در هر سرویس کافی است از دستور زیر استفاده نماییم:

php --ini

متاسفانه بسیاری از کاربران PHP و مدیران نا آشنا با گزینه های مختلف که در فایل php.ini و فایل پیکربندی آن توجه نمیکنند. با استفاده از چند گزینه مربوط به امنیت در فایل پیکربندی شما می تواند تا حد زیادی وضعیت امنیتی از برنامه های کاربردی وب در حال اجرا بر روی سرور خود را تقویت نمایید.

Safe Mode

این ویژگی برای حل مشکل امنیت اشتراک در سرور اضافه شده است و از نسخه PHP6 به بعد حذف گردیده است. اگر تابعی در یک فایل در یک سرور سایر فایل ها با مالکیت مشابه را تحت تاثیر قرار می دهد کنترل می نماید. برای فعال کردن آن:

safe_mode =on

در برخی موارد شما می خواهید مالکیت استفاده از یک گروه بررسی شود:

safe_mode_gid = On

ادامه ی مطلب

آموزش هک قانونمند ( CEH v8 ) قسمت شانزدهم – Hacking mobile platforms

با قسمت شانزدهم  از هک قانونمند در خدمت شما عزیزان هستیم

همان طور که گفته شد این دوره جهت آشنایی شما عزیزان با مباحث هک و امنیت و هنر تست نفوذ پذیری می باشد

CEH  مخفف CERTIFIED ETHICAL HACKER می باشد که به معنی هک قانونمند است

این دوره جهت آشنایی با متد های هک و نحوه جلوگیری از آنها می باشد

ما در این دوره با باگ های اندروید و هک اندروید و IOS  آشنا خواهیم شد

همچنین در این قسمت به بحث در مورد امنیت در دستگاه های اندویدی نیز پرداخته می شود

 

ادامه ی مطلب