salima
11-02-2013, بتوقيت غرينيتش 01:03 AM
السلام عليكم ورحمة الله وبركاته
اخواني انا اليوم سويت recompile للاباتشي
وبالغلط .. صار إستعادة لملفات settings مثل httpd.conf
وكل الدوال اللي كتبتها راحت
وانا رافع شل للتجربه .. كان مساره :
http://www.sec-gate.com/a2.php
وتفاجأت ان واحد مغير الاندكس http://www.dzbatna.com/images/smilies/cupidarrow.gif ( بتعرفون وش مصير هذا الشخص في نهاية الموضوع )
عند إختراق موقع على سيرفر SERVERك .. الأوامر اللي تحتاجها :
1- w
علشان تعرف من موجود على الشل معك .. لو طلع آي بي واحد
معناها انه بس انت .. ولاتشيل هم الحين
لو طلع شخص ثاني .. غير باسورد الروت وسو ssh pubkey علشان ماحد يقدر يشبك غيرك
2- lastlog
علشان تعرف اليوزرات اللي دخلت الشل خلال × يوم
3- last -20
لعرض آخر 20 شخص ( آي بي ) دخل الشل عبر اليوزر : root
4- history
علشان تعرف الأوامر اللي كتبها الشخص .. طبعاً هذا لو قدر يوصل للشل
مثل useradd !! وبكذا تحذف اليوزر اللي اضافه .. وماخلافه
طيب نفترض ان الإختراق بسيط .. ماوصل للروت ..
5- cat /var/log/messages | grep index.*
علشان تعرف هل في ملف index تغير او لا او في شخص رفعه او لا .. عبر الـ ftp
مثال :
Apr 23 20:58:14 server pure-ftpd: (userhttp://www.dzbatna.com/images/mail.gif190.99.124.43) [NOTICE] File successfully renamed or moved: [/public_html/index.html]->[/public_html/index.html.old]
او
Apr 23 06:26:48 host pure-ftpd: (userhttp://www.dzbatna.com/images/mail.gif22.119.41.15) [NOTICE] Deleted index.html
او
Apr 23 21:39:02 server pure-ftpd: (userhttp://www.dzbatna.com/images/mail.gif22.119.41.15) [NOTICE] /home/user/public_html/index.html uploaded (18695 bytes, 162933.57KB/sec)
كذا انتهينا من ssh و ftp
ومنها .. تقدر تصيد آي بيه وتقدر تبلغ عنه - تخترق جهازه
واهم شيء .. انك بتعرف كيف تم الإختراق علشان تسد ثغرته
لو مافي نتائج لا من ssh ولا ftp
معناها ان الإختراق 99.99% انه تم عن طريق phpSHELL مرفوع على السيرفر SERVER
افحص السيرفر SERVER كامل .. واحذف الشلات
انتهى
ارجو ذكر المصدر عند النقل
بوابة الحماية | Security Gate
تحياتي
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
اخواني انا اليوم سويت recompile للاباتشي
وبالغلط .. صار إستعادة لملفات settings مثل httpd.conf
وكل الدوال اللي كتبتها راحت
وانا رافع شل للتجربه .. كان مساره :
http://www.sec-gate.com/a2.php
وتفاجأت ان واحد مغير الاندكس http://www.dzbatna.com/images/smilies/cupidarrow.gif ( بتعرفون وش مصير هذا الشخص في نهاية الموضوع )
عند إختراق موقع على سيرفر SERVERك .. الأوامر اللي تحتاجها :
1- w
علشان تعرف من موجود على الشل معك .. لو طلع آي بي واحد
معناها انه بس انت .. ولاتشيل هم الحين
لو طلع شخص ثاني .. غير باسورد الروت وسو ssh pubkey علشان ماحد يقدر يشبك غيرك
2- lastlog
علشان تعرف اليوزرات اللي دخلت الشل خلال × يوم
3- last -20
لعرض آخر 20 شخص ( آي بي ) دخل الشل عبر اليوزر : root
4- history
علشان تعرف الأوامر اللي كتبها الشخص .. طبعاً هذا لو قدر يوصل للشل
مثل useradd !! وبكذا تحذف اليوزر اللي اضافه .. وماخلافه
طيب نفترض ان الإختراق بسيط .. ماوصل للروت ..
5- cat /var/log/messages | grep index.*
علشان تعرف هل في ملف index تغير او لا او في شخص رفعه او لا .. عبر الـ ftp
مثال :
Apr 23 20:58:14 server pure-ftpd: (userhttp://www.dzbatna.com/images/mail.gif190.99.124.43) [NOTICE] File successfully renamed or moved: [/public_html/index.html]->[/public_html/index.html.old]
او
Apr 23 06:26:48 host pure-ftpd: (userhttp://www.dzbatna.com/images/mail.gif22.119.41.15) [NOTICE] Deleted index.html
او
Apr 23 21:39:02 server pure-ftpd: (userhttp://www.dzbatna.com/images/mail.gif22.119.41.15) [NOTICE] /home/user/public_html/index.html uploaded (18695 bytes, 162933.57KB/sec)
كذا انتهينا من ssh و ftp
ومنها .. تقدر تصيد آي بيه وتقدر تبلغ عنه - تخترق جهازه
واهم شيء .. انك بتعرف كيف تم الإختراق علشان تسد ثغرته
لو مافي نتائج لا من ssh ولا ftp
معناها ان الإختراق 99.99% انه تم عن طريق phpSHELL مرفوع على السيرفر SERVER
افحص السيرفر SERVER كامل .. واحذف الشلات
انتهى
ارجو ذكر المصدر عند النقل
بوابة الحماية | Security Gate
تحياتي
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©