سلام به عزیزان ایران هک ، امیدوارم حالتون خوب باشه ، مراقب این ویروس سازمان یافته باشین و از خودتون و خانواده هاتون بشدت محافظت کنید .
متاسفانه بنده هم مبتلا شدم و دوران سختی رو سپری کردم ، از جوشانده آویشن و ضد عفونی موادی که از بیرون خریداری میکنید قافل نشوید . چین با ساخت این ویروس و به قول خودشون نشت اون از آزمایشگاهشون بستر نابودی خودشو فراهم کرد ما خیلی از عزیزانمون رو از دست دادیم و به امید روزی که اتحاد همه کشور ها رو علیه چین ببینیم . نوادگان مغول و چنگیز باری دیگه نشون دادن که خونخوار و جاه طلب هستند اما به قیمت خون بی گناهان ....
خوب بگذریم
در این مبحث به بررسی سطح امنیتی فولدر های مدیریت نرم افزاری های تحت وب و یا فولدر هایی که دارای اهمیت بالا میباشند میپردازیم نفوذگر در زمانی که به یک نرم افزار تحت وب حمله میکند و به یوزر و پسورد مدیر دسترسی پیدا میکند برای انجام آپلود شل باید وارد محیط کنترل پنل شود ، بیشتر نرم افزارهای تحت وب در محیط پنل مدیریتی خود قسمت هایی برای آپلود فایل ، عکس ، صفحه ، فیلم ، مقاله دارند و این یک گزینه مناسب برای شل گرفتن از تارگت هست اگر ما محدودیتی در صفحه لاگین داشته باشیم هکر حتی با وجود داشتن یوزر و پسورد قادر به ورود به صفحه مدیریتی نیست و در نهایت نفوذ کامل انجام نمیشود و کمترین آسیب به سایت وارد میشود .
ضمنا برخی فولدر های آپلود فایل که مسیر نهایی ریختن فایل آپلود شده است بهتر است مورد امنیت قرار بگیرید به این دلیل که هکر در برخی واقع آپلودر هایی سایر قسمت های سایت بجز کنترل پنل مدیریتی را بای پس میکند و اگر نتواند فایل خود را بطور مستقیم پیدا کند این مرحله از نفوذ هکر هم ناکام میماند .
.htaccess می تواند برای محافظت از پوشه های موجود در حساب شما با رمزگذاری رمز عبور و یا محدودیت نمایش برای سایرین استفاده شود. همه فایل ها و زیر پوشه های موجود در پوشه ای که توسط .htaccess محافظت می شوند نیز محافظت می شوند. بنابراین اگر می خواهید از کل وب سایت محافظت کنید ، باید .htaccess را در پوشه public_html یا httpdocs قرار دهید که پوشه عمومی محل نگهداری فایل ها و پوشه های وب سایت شما است. اما ، اگر می خواهید فقط از پوشه های خاص محافظت کنید (همانند صفحات مدیریتی admin / adminbistrator / admincp) ، باید این کار را به طور جداگانه برای هر یک از پوشه ها انجام دهید. توجه: اگر برنامه میزبانی مبتنی بر ویندوز دارید ، نمی توانید از فایل های .htaccess استفاده کنید. فقط می توانید از حفاظت .htaccess در سرور Unix/Linux مبتنی بر Apache استفاده کنید. در آینده به سرور های ویندوزی نیز خواهیم پرداخت .
1. به پوشه ای بروید که می خواهید از آن محافظت کنید
در مثال زیر ما می خواهیم از پوشه مدیر گالری Dynamic Flash در پوشه public_html محافظت کنیم. /users/user1/public_html/admin توجه: باید مسیر کامل پوشه ای را که می خواهید از آن محافظت کنید ، حفظ کنید. در مورد ما ، مسیر کامل/users/iranhack/public_html/ محافظت شده است.
2. فایلی با نام .htaccess ایجاد کنید
برای ایجاد فایلی به نام .htaccess از هر ویرایشگر متنی تا دلخواه خود استفاده کنید (توجه: مطمئن شوید که ویرایشگر متن شما یک پسوند .txt به نام فایل اضافه نکرده باشد. ((در Windows ، می توانید این کار را با کلیک راست روی نماد فایل متنی و انتخاب "Properties" انجام دهید.) اگر نام فایل دارای پسوند .txt (یعنی ".htpasswd.txt") است ، پسوند را با تغییر نام فایل حذف کنید.
3. خطوط مناسب را به فایل .htaccess اضافه کنید.
با استفاده از همان ویرایشگر متن (که در مرحله 2 انتخاب کرده اید) ، موارد زیر را وارد کنید.
توجه داشته باشید:
در کنار AuthUserFile ، باید مسیر کامل را قرار دهید ، با /.htpasswd بلافاصله آن را دنبال کنید. مثال بالا نشان می دهد /users/iranhack/public_html/admin/.htpasswd
در کنار AuthName ، کلمات یا عبارتی را که می خواهید به عنوان "عنوان" برای کادر ورودی نام کاربری/رمز عبور ظاهر شود وارد کنید.
توجه : در سایتهایی که کنترل پنل Cpanel یا DirectAdmin و ... موجود میباشد این پروسه بطور اتوماتیک تنها با چند کلیک انجام میپذیرد ما در این آموزش فرض را بر این گذاشته ایم که پنل مدیریت سرور این قابلیت را ندارد . در پایان این تاپیک آموزش استفاده از Folder Protect در سی پنل و سایر پنل ها به شما آموزش داده میشود .
4- فایل .htpasswd را با افزودن کاربران ایجاد کنید
ویرایشگر متن را در رایانه خود باز کنید. توصیه می کنیم از Notepad (Windows) ، SimpleText (Macintosh) یا notepad ++ استفاده کنید.
فایل (در مکانی که به راحتی پیدا می شود) را به صورت .htpasswd (از جمله نقطه اولیه) ذخیره کنید.
اکنون ، مطمئن شوید که ویرایشگر متن شما یک پسوند .txt به نام فایل اضافه نکرده است. (در Windows ، می توانید این کار را با کلیک راست روی نماد فایل متنی و انتخاب "Properties" انجام دهید.) اگر نام فایل دارای پسوند .txt (یعنی ".htpasswd.txt") است ، پسوند را با تغییر نام حذف کنید. پرونده.
قبل از وارد کردن کد در فایل جدید خود ، مطمئن شوید که "Word Wrap" خاموش است. (در دفترچه یادداشت ، "قالب ..." را از نوار ناوبری بالا انتخاب کنید و مطمئن شوید که "Word Wrap" علامت زده نشده باشد.
با انتخاب نام کاربری که برای ورود به دایرکتوری محافظت شده استفاده می کنید ، شروع کنید. (نام کاربری می تواند بین 2 تا 16 نویسه باشد و فقط شامل حروف کوچک و اعداد باشد.)
نام کاربری را در فایل .htpasswd و سپس کولون وارد کنید. فایل شما باید به این شکل باشد: username:
اکنون باید رمز ورود خود را برای ورود به دایرکتوری رمزگذاری کنید. توجه: رمز عبور رمزگذاری شده همیشه بدون در نظر گرفتن طول واقعی 13 کاراکتر خواهد بود. و رمز عبور نیاز به رمز نگاری دارد (همانند هش پسورد)
به تصویر زیر در یک سایت آنلاین دقت نمائید :
همانطور که مشاهده میکنید پسورد ورودی ما password بود و پسوردی که در output مشاهده میکنیم هش شد است .
رمز عبور را در فایل .htpasswd خود قرار دهید. اطمینان حاصل کنید که هر فضایی را که ممکن است قبل یا بعد از رمز عبور باشد حذف کنید. فایل شما باید به این شکل باشد:
برای افزودن کاربران بیشتر ، خط فعلی را با چندین یوزر و مراحل (5) تا (8) بالا را در خط بعدی تکرار کنید.
پس از اتمام افزودن کاربران ، فایل را ذخیره کنید.
5. مجوزهای مربوط به فایل .htaccess و .htpasswd خود را تنظیم کنید
FTP خود را باز کرده و به فهرست اصلی وب سایت خود بروید. این مهم است: بارگذاری فایل .htpasswd خود در یک دایرکتوری دیگر ممکن است عواقب غیر منتظره ای ایجاد کند. حالا تنظیمات بارگذاری خود را روی ASCII قرار دهید (بارگذاری فایل های .htpasswd در قالب «باینری» ممکن است عواقب غیر منتظره ای داشته باشد) و فایل .htaccess .htpasswd خود را از رایانه محلی خود بارگذاری کنید. مطمئن شوید که فایل .htpasswd موجود را بازنویسی نکنید - ممکن است اطلاعات ورود به سیستم را در آن فایل ذخیره کنید. توجه: اگر فایل .htpasswd موجود در فهرست اصلی خود دارید ، پیشنهاد می کنیم نام کاربری و گذرواژه های موجود در آن فایل را قبل از بارگذاری در وب به فایل .htpasswd جدید خود اضافه کنید. می توانید این کار را ابتدا با بارگیری فایل .htpasswd قدیمی و کپی و چسباندن محتوای آن در فایل جدید خود انجام دهید. پس از اتمام بارگذاری ، ممکن است مجوزهای فایل را برای فایل .htaccess و .htpasswd تغییر دهید. آنها باید روی 644 (با استفاده از chmod) یا RW-R – R– تنظیم شوند.
چگونه می توانم محافظت از htaccess را حذف کنم؟
برای حذف حفاظت از htaccess ، کافی است فایل .htaccess را در پوشه admin حذف یا نامگذاری کنید.
ادامه دارد ...
متاسفانه بنده هم مبتلا شدم و دوران سختی رو سپری کردم ، از جوشانده آویشن و ضد عفونی موادی که از بیرون خریداری میکنید قافل نشوید . چین با ساخت این ویروس و به قول خودشون نشت اون از آزمایشگاهشون بستر نابودی خودشو فراهم کرد ما خیلی از عزیزانمون رو از دست دادیم و به امید روزی که اتحاد همه کشور ها رو علیه چین ببینیم . نوادگان مغول و چنگیز باری دیگه نشون دادن که خونخوار و جاه طلب هستند اما به قیمت خون بی گناهان ....
خوب بگذریم
در این مبحث به بررسی سطح امنیتی فولدر های مدیریت نرم افزاری های تحت وب و یا فولدر هایی که دارای اهمیت بالا میباشند میپردازیم نفوذگر در زمانی که به یک نرم افزار تحت وب حمله میکند و به یوزر و پسورد مدیر دسترسی پیدا میکند برای انجام آپلود شل باید وارد محیط کنترل پنل شود ، بیشتر نرم افزارهای تحت وب در محیط پنل مدیریتی خود قسمت هایی برای آپلود فایل ، عکس ، صفحه ، فیلم ، مقاله دارند و این یک گزینه مناسب برای شل گرفتن از تارگت هست اگر ما محدودیتی در صفحه لاگین داشته باشیم هکر حتی با وجود داشتن یوزر و پسورد قادر به ورود به صفحه مدیریتی نیست و در نهایت نفوذ کامل انجام نمیشود و کمترین آسیب به سایت وارد میشود .
ضمنا برخی فولدر های آپلود فایل که مسیر نهایی ریختن فایل آپلود شده است بهتر است مورد امنیت قرار بگیرید به این دلیل که هکر در برخی واقع آپلودر هایی سایر قسمت های سایت بجز کنترل پنل مدیریتی را بای پس میکند و اگر نتواند فایل خود را بطور مستقیم پیدا کند این مرحله از نفوذ هکر هم ناکام میماند .
.htaccess می تواند برای محافظت از پوشه های موجود در حساب شما با رمزگذاری رمز عبور و یا محدودیت نمایش برای سایرین استفاده شود. همه فایل ها و زیر پوشه های موجود در پوشه ای که توسط .htaccess محافظت می شوند نیز محافظت می شوند. بنابراین اگر می خواهید از کل وب سایت محافظت کنید ، باید .htaccess را در پوشه public_html یا httpdocs قرار دهید که پوشه عمومی محل نگهداری فایل ها و پوشه های وب سایت شما است. اما ، اگر می خواهید فقط از پوشه های خاص محافظت کنید (همانند صفحات مدیریتی admin / adminbistrator / admincp) ، باید این کار را به طور جداگانه برای هر یک از پوشه ها انجام دهید. توجه: اگر برنامه میزبانی مبتنی بر ویندوز دارید ، نمی توانید از فایل های .htaccess استفاده کنید. فقط می توانید از حفاظت .htaccess در سرور Unix/Linux مبتنی بر Apache استفاده کنید. در آینده به سرور های ویندوزی نیز خواهیم پرداخت .
1. به پوشه ای بروید که می خواهید از آن محافظت کنید
در مثال زیر ما می خواهیم از پوشه مدیر گالری Dynamic Flash در پوشه public_html محافظت کنیم. /users/user1/public_html/admin توجه: باید مسیر کامل پوشه ای را که می خواهید از آن محافظت کنید ، حفظ کنید. در مورد ما ، مسیر کامل/users/iranhack/public_html/ محافظت شده است.
2. فایلی با نام .htaccess ایجاد کنید
برای ایجاد فایلی به نام .htaccess از هر ویرایشگر متنی تا دلخواه خود استفاده کنید (توجه: مطمئن شوید که ویرایشگر متن شما یک پسوند .txt به نام فایل اضافه نکرده باشد. ((در Windows ، می توانید این کار را با کلیک راست روی نماد فایل متنی و انتخاب "Properties" انجام دهید.) اگر نام فایل دارای پسوند .txt (یعنی ".htpasswd.txt") است ، پسوند را با تغییر نام فایل حذف کنید.
3. خطوط مناسب را به فایل .htaccess اضافه کنید.
با استفاده از همان ویرایشگر متن (که در مرحله 2 انتخاب کرده اید) ، موارد زیر را وارد کنید.
کد:
AuthUserFile /users/iranhack/public_html/admin/.htpasswd AuthName “Title for Protected Site” AuthType Basic Require valid-user
در کنار AuthUserFile ، باید مسیر کامل را قرار دهید ، با /.htpasswd بلافاصله آن را دنبال کنید. مثال بالا نشان می دهد /users/iranhack/public_html/admin/.htpasswd
در کنار AuthName ، کلمات یا عبارتی را که می خواهید به عنوان "عنوان" برای کادر ورودی نام کاربری/رمز عبور ظاهر شود وارد کنید.
توجه : در سایتهایی که کنترل پنل Cpanel یا DirectAdmin و ... موجود میباشد این پروسه بطور اتوماتیک تنها با چند کلیک انجام میپذیرد ما در این آموزش فرض را بر این گذاشته ایم که پنل مدیریت سرور این قابلیت را ندارد . در پایان این تاپیک آموزش استفاده از Folder Protect در سی پنل و سایر پنل ها به شما آموزش داده میشود .
4- فایل .htpasswd را با افزودن کاربران ایجاد کنید
ویرایشگر متن را در رایانه خود باز کنید. توصیه می کنیم از Notepad (Windows) ، SimpleText (Macintosh) یا notepad ++ استفاده کنید.
فایل (در مکانی که به راحتی پیدا می شود) را به صورت .htpasswd (از جمله نقطه اولیه) ذخیره کنید.
اکنون ، مطمئن شوید که ویرایشگر متن شما یک پسوند .txt به نام فایل اضافه نکرده است. (در Windows ، می توانید این کار را با کلیک راست روی نماد فایل متنی و انتخاب "Properties" انجام دهید.) اگر نام فایل دارای پسوند .txt (یعنی ".htpasswd.txt") است ، پسوند را با تغییر نام حذف کنید. پرونده.
قبل از وارد کردن کد در فایل جدید خود ، مطمئن شوید که "Word Wrap" خاموش است. (در دفترچه یادداشت ، "قالب ..." را از نوار ناوبری بالا انتخاب کنید و مطمئن شوید که "Word Wrap" علامت زده نشده باشد.
با انتخاب نام کاربری که برای ورود به دایرکتوری محافظت شده استفاده می کنید ، شروع کنید. (نام کاربری می تواند بین 2 تا 16 نویسه باشد و فقط شامل حروف کوچک و اعداد باشد.)
نام کاربری را در فایل .htpasswd و سپس کولون وارد کنید. فایل شما باید به این شکل باشد: username:
اکنون باید رمز ورود خود را برای ورود به دایرکتوری رمزگذاری کنید. توجه: رمز عبور رمزگذاری شده همیشه بدون در نظر گرفتن طول واقعی 13 کاراکتر خواهد بود. و رمز عبور نیاز به رمز نگاری دارد (همانند هش پسورد)
به تصویر زیر در یک سایت آنلاین دقت نمائید :
همانطور که مشاهده میکنید پسورد ورودی ما password بود و پسوردی که در output مشاهده میکنیم هش شد است .
رمز عبور را در فایل .htpasswd خود قرار دهید. اطمینان حاصل کنید که هر فضایی را که ممکن است قبل یا بعد از رمز عبور باشد حذف کنید. فایل شما باید به این شکل باشد:
کد:
username:$apr1$vftz42l9$3rdUQ9H8XDockgAxgtpgS.
برای افزودن کاربران بیشتر ، خط فعلی را با چندین یوزر و مراحل (5) تا (8) بالا را در خط بعدی تکرار کنید.
پس از اتمام افزودن کاربران ، فایل را ذخیره کنید.
5. مجوزهای مربوط به فایل .htaccess و .htpasswd خود را تنظیم کنید
FTP خود را باز کرده و به فهرست اصلی وب سایت خود بروید. این مهم است: بارگذاری فایل .htpasswd خود در یک دایرکتوری دیگر ممکن است عواقب غیر منتظره ای ایجاد کند. حالا تنظیمات بارگذاری خود را روی ASCII قرار دهید (بارگذاری فایل های .htpasswd در قالب «باینری» ممکن است عواقب غیر منتظره ای داشته باشد) و فایل .htaccess .htpasswd خود را از رایانه محلی خود بارگذاری کنید. مطمئن شوید که فایل .htpasswd موجود را بازنویسی نکنید - ممکن است اطلاعات ورود به سیستم را در آن فایل ذخیره کنید. توجه: اگر فایل .htpasswd موجود در فهرست اصلی خود دارید ، پیشنهاد می کنیم نام کاربری و گذرواژه های موجود در آن فایل را قبل از بارگذاری در وب به فایل .htpasswd جدید خود اضافه کنید. می توانید این کار را ابتدا با بارگیری فایل .htpasswd قدیمی و کپی و چسباندن محتوای آن در فایل جدید خود انجام دهید. پس از اتمام بارگذاری ، ممکن است مجوزهای فایل را برای فایل .htaccess و .htpasswd تغییر دهید. آنها باید روی 644 (با استفاده از chmod) یا RW-R – R– تنظیم شوند.
چگونه می توانم محافظت از htaccess را حذف کنم؟
برای حذف حفاظت از htaccess ، کافی است فایل .htaccess را در پوشه admin حذف یا نامگذاری کنید.
ادامه دارد ...
نظر