سلام خسته نباشي
چند تا سئوال داشتم
اول اينکه چطوري ميشه جلوی curl شدن وب سایت را گرفت؟
دوم اينکه ادرسي از سايت من که فقط فايل اج تي ام ال خالي بودش هک شد
سئوالم اينکه چطوري ميشه يک فايل اج تي ام ال خالي هک بشه؟
همين ديگه :d

در كل راهي براش وجود نداره!هر جورم جلوش رو بگيري باز مي تونن بپيچونن!
ولي اينا رو ميتوني رعايت كني : user agent،ip رو چك كن.اسكريپت هاي anti ddos رو بررسي كن توشون در اين مورد هم كدهاي بدرد بخوري هست....تو نيوك هم يك سري كدهايي داره كه تاحدودي هيمن كار رو ميكنه ولي بازم گفتم هر كارم كني طرف ميتونه به صورت fake برنامه رو جاي انسان جا بزنه ولي كارش سخت ميشه...
در مورد هك هم موارد زيادي هست...پرميشن فايل ها و ... تنظيمات امنيتي سرور ، بستگي داره كي سرور رو منيج كنه..بلد باشه يا نه ... ممكنه هاستينگت فقط دنبال منافع مادي باشه و سرور و unmanaged تحويل بگيره يك سي پنل يا هرچي نصب كنه و اكانت بده دست كاربر...
اگه هكر بخواد بياد وقتش رو بذاره يك سي ام اس رو بررسي كنه تا سايت رو deface بعد چند ساعت و شايد روز تلاش بتونه يك سايت رو هك كنه ولي اگه سرور رو بزنه و به روت دسترسي پيدا كنه تعداد زيادي سايت حتي تا 100 تا (بسته به سرور و انصاف هاستينگ!) سايت رو هك كرده

سلام،
هک سایت شما توسط گروه digital boys underground team بوده که به صورت mass deface روی سرور که لینوکس بوده انجام شده و با برنامه ای که در اختیار داشتن تمام فولدرهایی که امکان write داشتن رو داخلش یه index.php گذاشتن. برای سایت شما تو فولدر img فایل index رو گذاشته بودن. روی سرور شما فقط 4 تا سایت رو تونستن home page deface کنن. در کل هم گروه مسخره و تازه کاری بوده که به نظر میاد بیشتر از 4 ماه سابقه نداره و بیشتر سایتهایی که زده روی سرورهای مزخرف ایرانی بوده.
مشکل از سروره و توصیه میکنم سرورت رو عوض کنی. برای سرورهای امن هم اگه خواستی با من تماس بگیر. من با بیشتر شرکتهای hosting کار کردم.

ممنون اقا آراش دقیقا همین کاری که گفتی کرده
اقا رضا اگه هنگام ورود از یک سری قواعد خاص استفاده کنیم باز چطور؟
مثلا برای ورود به قسمت تابع لوگین از کد

کد: انتخاب همه

$_SERVER['HTTP_REFERER']


استفاده کنیم و ادرس رو ببریم تو ارایه که محدود بشه بعد دیگه اون طرف نمی تونه از جای دیگه وارد سیستم بشه
و از session_id استفاده کنیم البیته میشه session_id رو دور زد ولی اگه از تابع های hash استفاده کنیم باز چطور؟
مثلا میهن بلاگ برای ورود از این روش استفاده می کنه
http://www.mihanblog.com/web/signin/ind ... 6347d9380/
ادرس ها الگوریتمی کار رو سخت نمی کنه ؟
یا اینکه از ثابت ها استفاده کنیم؟
یعنی این روش های واقعا تاثیر نداره ؟

فقط كار طرف رو سخت مي كني...هر كاري هم كني ميشه fake رد كرد...خود تابع curl هم روشهايي براي ارسال referer fake و ... داره...
ميهن بلاگ رو يك مدت روش كار مي كردم تا لوگينش رو دور بزنم،به صورت معمولي راهش رو بسته بود و ... بعد خيلي راحت كدم رو تغيير دادم،صفحه رو لود مي كنم،پارامترهاي متغير رو ميگيرم،به صورت fake خودم رو يك user با مرورگر ff و ... معرفي مي كنم و لوگين!فقط كار رو مي توني سخت كني.اسكريپت هاي anti leech هم شايد به كارت بياد.
در مورد هاستينگ هم به نظر من از webhostinginfo 10 هاستينگ برتر ايران رو در بيار و يكيشون رو انتخاب كن...
خودم قبلا رو ملت هاست بودم،يك تيم هكر وهابي كل سرور رو زدن ! بعد رفتم رو ايران سرور امنيتيش خوبه و به خصوص شديدا مانيتور مي كنند.
الان خيلي از هاستينگ ها با يك shell ساده هك ميشند!از جايي هاستت رو بگير كه به هيچ وجه اكانت تست نده و فقط money back داشته باشه،تجربه ميزباني بالايي داشته باشه ، شركت باشه و...
البته امنيت مطلقي نداريم ولي خب از اين بهتره كه هر كي از راه رسيد هك كنه

پس حداقل کار رو سختر کنیم که چند تا جوجه هکر برامون اسپم وارد نکنند
ولی رضا تعجب کردم HTTP_REFERER رو میشه بصورت fake دور زد
(رضا جان Fake یک لغت لاتین هستش دیگه؟ به معنی ساختگی یا اینکه تابع خواستی هستش من تو سایت پی اچ پی .نت چرخیدم چنین تابعی پیدا نکردم؟)

اگه HTTP_REFERER و session_id و چند تا عدد رندمی رو به Session وصل کرد و همشون رو به چندین الگوریتم قاطعی کرد؟ باز دور زد اینجا امنیت پی اچ پی زیر سئوال نمیره؟
اگه با این روش ها میشه وارد سیستم شد پس خیلی راحت هم میشه سیستم رو هک کرد؟
به نظر شما برای جلوگیری از این روش ها باید چی کار کرد؟

سلام
ببخشيد به خاطر اين لغط انگليسي ! راست ميگن يا بايد آدم فارسي صحبت كنه يا انگليسي ولي منم متاسفانه عادت كردم خيلي از لغات انگليسي استفاده مي كنم!
fake به معني همون تقلبي هست.
يك نمونه ساده :

کد: انتخاب همه

<?php
function cURL($url, $ref, $header, $cookie, $p)
{ $agents[] = "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; Media Center PC 5.0)";
$agents[] = "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)";
$agents[] = "Opera/9.63 (Windows NT 6.0; U; ru) Presto/2.1.1";
$agents[] = "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5";
$agents[] = "Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.8.1.18) Gecko/20081203 Firefox/2.0.0.18";
$agents[] = "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16";
$agents[] = "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6; en-us) AppleWebKit/525.27.1 (KHTML, like Gecko) Version/3.2.1 Safari/525.27.1";
    $ch = curl_init();//start curl
    curl_setopt($ch, CURLOPT_HEADER, $header);         //trace header response
    //curl_setopt($ch, CURLOPT_NOBODY, $header);         //return body
    curl_setopt($ch, CURLOPT_URL, $url);             //curl Targeted URL
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
    curl_setopt($ch, CURLOPT_COOKIE, $cookie);
    //curl_setopt($ch, CURLOPT_USERAGENT, $_SERVER['HTTP_USER_AGENT']);
    curl_setopt($ch, CURLOPT_REFERER, $ref);         //fake referer
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
    //curl_setopt($ch, CURLOPT_USERAGENT, $agents[rand(0,(count($agents)-1))]);
    $userAgent = 'Googlebot/2.1 (http://www.googlebot.com/bot.html)';
curl_setopt($ch, CURLOPT_USERAGENT, $userAgent);
    //if ($p) {
        curl_setopt($ch, CURLOPT_CUSTOMREQUEST, "POST");
        curl_setopt($ch, CURLOPT_POST, 1);
        curl_setopt($ch, CURLOPT_POSTFIELDS, $p);
    //}
    $result = curl_exec($ch);
    curl_close($ch);
   // if ($result)
        return $result;
}
$ref='www.rightclick.ir';//fake referer
      $p='user=test&pass=test&....';
      $ik=cURL("http://test.com/test.php",$ref,0,0,$p);
echo 'result : '.$ik;
?>


حتي در بعضي سايت ها كاربر مهمان دسترسي نداره ولي ربوت گوگل دسترسي كامل تري داره،پس اگه بتونيم خودمونو جاي گوگل جا بزنيم باز يك دسترسي بيشتر داريم!ولي اين به شرطي هست كه طرف چك نكنه...چون ميشه از روي آي پي فهميد ربوت گوگل هست يا نه...
در مورد هك بايد بگم ، اونقدر ها مسئله ساز نيست!فقط ميشه اسپم كرد با اين روش ها!كه اونم با يك كد امنيتي درست حسابي حل ميشه...
دقيقا براي كجا داري اين محافظت رو اعمال مي كني؟

سلام
چه جالب
برای سیستم خودم می خوام پرتال های دانشگاه-پرتال های خودرو-پرتال های پیام کوتاه و..
پس به نظرت به کد امنیتی مشکلش حل میشه؟

با كد امنيتي خوب كه ساده نباشه ميتوني جلوي ارسال فرم ها،لوگين و ... رو توسط ربات ها گرفت.
منظورم از خوب و ساده نبودن اين ـه كه اين ها توش رعايت شده باشند
ترجيحا فونت د هر بارگذاري رندوم عوض بشه
پشت زمينه ثابت و يك دست نداشته باشه و رندوم عوض بشه
كاراكتر ها طيف گسترده اي (عدد و حروف ترجيحا) داشته باشند
موقعيت كاراكتر ها رندوم جابجا بشه و ...
نمونه هاي آماده زيادي هم تو نت هست...
ولي در مورد اين كه كلا ربات نتونه به سايتت بياد متاسفانه تقريبا هيچ راهي نداري!و البته خيلي هم نگران كننده نيست...

سلام،
كد امنيتي همين كه عكس باشه كافي نيست؟چرا؟
http://www.abbasali.ir/cap.php
مثلا كد امنيتي سايت من بده؟مشكلش چيه؟(توضيح بده برام.)

خوبه
پس تصوير امنيتي رو ميشه با هوش مصنوعي زد
عباس جان حداقل يک پشت زمينه و يک رنگ به اعداد بده تا کمي امنيتي بشه
رضا جان هوش مصنوعي بلدي؟

abbas نوشته:سلام،
كد امنيتي همين كه عكس باشه كافي نيست؟چرا؟
http://www.abbasali.ir/cap.php
مثلا كد امنيتي سايت من بده؟مشكلش چيه؟(توضيح بده برام.)

اتفاقا در عين سادگي يك مزيت داره كدت و اون فارسي بودن اعداد هست،اكثر ربات ها براي فونت هاي انگليسي و نه فارسي ست شده اند.
ببين من الان اگه بخوام كدت رو دور بزنم راحته،مي دوني چرا؟
فقط از عدد استفاده كردي
رنگ ها ثابت و بك گراند هم سفيده يك دست
تعداد ارقام ثابت هستند
خب من عكس رو با php ميخونم، از روي نقاطي كه عكس رنگي هست كد رو مي سازم...چون يك الگوي ثابت داره!يعني كافيه براي 9 عدد،9 الگو بنويسيم و از اونجا كدت هميشه هم 5 رقمي هست ، اين 9 الگو رو 5 بار در عكس به ترتيب پيدا مي كنم!

mortezaa نوشته:خوبه
پس تصوير امنيتي رو ميشه با هوش مصنوعي زد
عباس جان حداقل يک پشت زمينه و يک رنگ به اعداد بده تا کمي امنيتي بشه
رضا جان هوش مصنوني بلدي؟

متاسفانه نه،من به هوش مصنوعي فوقا العاده علاقه دارم ولي يادگيري اصوليش به اين سادگي ها نيست(كلي رياضي داره!همونايي كه اين ترم افتادم )
درك درستي از هوش مصنوعي ندارم،نميدونم اسم اين كاري رو كه براي خوندن عكس مي كنم رو هم ميشه هوش مصنوعي گذاشت يا نه ! ولي فكر نكنم براي كدهاي امنيتي ساده نياز به ايجاد الگوهاي پيشرفته هوش مصنوعي هم باشه...چون با 4 تا الگوي غير اصولي هم ميشه كدهاي ساده رو دور زد...
البته درصد موفقيت در مورد كد هميشه بالا نيست!بسته به كد ميتونه از 0 تا نزديك 100 درصد باشه

چه جالب؟! ناقلا اينا رو هم به ما هم ياد بده...تنها خوري...

abbas نوشته:چه جالب؟! ناقلا اينا رو هم به ما هم ياد بده...تنها خوري...

اينو كامل بخون :
http://php.net/manual/en/book.image.php
(به سبك خودت راهنمايي كردم كه دفعه بعدي ازت سوال كردم نپيچوني )