پنج افسانه ازهک که باور نکنید

منتشرشده در مقالات هک و امنیت
پنج شنبه, 19 بهمن 1396 ساعت 06:34

افسانه اول : باید یک انتی ویروس خوب داشت یا از مک و یا لینوکس استفاده کرد


 
استفاده از یک انتی ویروس خوب مهم است اما کافی نیست. در واقع حتی یک بسته امنیتی خوب در صورتیکه کاربر ریسکهائی مهم کند, نمیتواند مانع همه خطرات شود و همینطور اگر یک انتی ویروس همیشه سبز است به معنای این نیست که دستگاهی که روی ان نصب شده الوده نشده است. خطراتی چون زرودی های هنوز کشف نشده وجود دارند که انتی ویروسها انها را نمیشناسند. بعلاوه شناسائی بعضی روشهای استفاده شده توسط هکرها برای نرم افزارهای امنیتی مشکل است که مثلا فیشینگ یکی از انها است. یا بعضی میتوانند در مورد برخی سایتها گزارشی منفی ارسال کنند تا محصولات امنیتی این صفحات را به عنوان صفحاتی مخرب بشناسند و برای اینکه مشخص گردد که این صفحات یا سایتها مخرب نیستند زمان لازم است. انچه که مهم است بدانید این است که یک انتی ویروس خوب و رفتاری صحیح میتوانند شما را محافظت کنند اما همیشه این محافظت صد در صد نخواهد بود.
 
در مورد امنیت مک و لینوکس نیز باید گفت که این کاملا بخصوص در حال حاضر اشتباه است. زمانی مک ها بقدری کم بودند که سازنده ملویرها به کل انها را کنار گذاردند اما امروزه این داستانی خاتمه یافته است و موفقیت جهانی مک و حتی محصولات دیگر چون ایفونها و تابلتها به این موضوع خاتمه داده و مک هم همانقدر هدف هکرها است که ویندوز میباشد و ملویرهائی از هر نوع چه ادویر و چه تروجان و چه بات نت و پسورد استیلرها و غیره برای مک نیز وجود دارند.
 
و اما لینوکس نیز اسیب پذیرهای مخصوص خود را دارد. مسلما لینوکس به اندازه ویندوز استفاده نمیشود اما اغلب فراموش میشود که لینوکس برای اکثر سرورهای وب استفاده میشود. زمانیکه اسیب پذیری ای در این سیستم کشف میشود به مانند طوفانی است که در تمام جهان میوزد. مثلا اسیب پذیریهای اخیر یعنی Heartbleed, Shellshock, BEAST SSL و غیره را در نظر بگیریم بدون اینکه حتی بخواهیم سرورهای بسیاری که بدون اینکه کسی بداند هکرها بکدوری روی ان و با بهره از یک اسیب پذیری وب قرار داده اند را محسوب داریم
 
 
افسانه دوم : اگر چیزی دانلود نکنم هیچ خطری نخواهم داشت
 
اینگونه اندیشیدن اشتباهی بسیار بزرگ است. از خیلی وقت پیش, فقط یک سشن وبگردی برای دستگاهی که محافظت نشده و یا بروز نشده کافی است. روش Drive-By Download بسیار مورد توجه مجرمین سایبری است و در تقریبا تمام بسته های بهره برداری که به قیمت طلا در بلک مارکتها خرید و فروش میشوند موجود است. کافی است از یک نسخه اسیب پذیر سیستم عاملی که بروز نشده و یا از یک نسخه قدیمی یک مرورگر استفاده شود تا دستگاه الوده گردد. مثالها بسیارند که دو مورد بهره برداری از فلش ادوبی و جاوا میباشند. بعضی از مرورگرها برای ممانعت از خطر ایندو انها را غیر فعال میکنند.
 
 
افسانه سوم : زمانیکه ادرس وب اچ تی تی پی اس و یک قفل در کنار ادرس میباشد کاربر ایمن است
 
مسلما HTTPS خوب است و مانع اینترسپت داده های ارسالی یا دریافت شده بین دستگاه و سرور میگردد اما باید که گواهی دیجیتالی ان نیز معتبر و تائید شده باشد. بخاطر داشته باشید که سرقتی عظیم از گواهیهای دیجیتالی صورت گرفته بود. بعلاوه بعضی اسیب پذیریها کرک رمزنگاری اس اس ال را ممکن میسازند.
 
در هر حال HTTPS در همه موارد محافظت نمیکند و حتی اگر یک ملویر بانکی روی دستگاه وجود داشته باشد که در پس زمینه کار کرده و کاربر از وجود ان اگاه نیست, میتواند مستقیما انچه را که روی صفحه کلید تایپ میشود را اینترسپت کند حال خواه صفحه وب بازدید شده HTTPS باشد یا نباشد. بدینگونه اگر کاربر روی صفحه ایمنی رمز عبور خود را روی صفحه کلید دستگاه تایپ کند از خطر در امان نیست و یا همینطور اگر روی یک صفحه فیشینگ که از یک گواهی دیجیتالی سرقت شده استفاده میکند داده های خود را وارد کند باز هم در امان نیست.
 
 
افسانه چهارم : اگر هکری ادرس ای پی کاربری را داشته باشد میتواند او را هک کند
 
خیر اینطور نیست. بسیار از زمانهائیکه میشد یک پورت باز روی یک دستگاه یافت گذشته است اما این موضوع همچنان در بعضی فیلمها یا توسط بعضی هکرهای تازه کار یا بی صلاحیت که مایلند دیگران را تهدید کنند زنده نگاهداشته میشود. با داشتن ای پی یک کاربر میتوان در بهترین حالت موقعیت جغرافیائی درخواستهای زیادی چون flood, DoS را دانست. این به انچه که روی بعضی فرومهای اموزش مثلا هک خوانده میشود ربطی ندارد.
 
 
افسانه پنجم : میتوان یک اکانت را فقط با یک برنامه هک کرد
 
بسیاری گمان میکنند که میتوان کنترل حساب کاربری را با نرم افزاری مخصوص هک به دست گرفت. باید بدانید که اینطور نیست. تنها کاری که این نرم افزارها میتوانند انجام دهند جذب یک سری هکر کوچک بدون دانش تکنیکهای هک میباشد. این برنامه ها با تبلیغ و نتایج جعلی کاربران را تشویق به دانلود میکنند و جالب این است که افرادی که با تصور هک کردن با این برنامه ها انها را دانلود میکنند در واقع خود هک میشوند و این برای بسیاری از نرم افزارهای هک و اموزش انها نیز صادق است.

امنیت در جوملا

منتشرشده در مقالات هک و امنیت
چهارشنبه, 19 آبان 1395 ساعت 20:30


ایمن نمودن سایت یکی از مهمترین مواردي است که میباید بدان پرداخته شود گرچه سعی شده است این بخش از
کتاب کامل باشد و دید مفیدي از بحث امنیت خصوصاً در سایت هاي جوملایی به شما دهد اما باز هم هیچ کتاب ،
مقاله و سایتی نمیتواند ادعا کند که %100کامل است . به کلامی دیگر هیچ سایتی ایمن نیست منتها ممکن است
حمله کننده هنوز راه نفوذ به آن را پیدا ننموده باشد . این موضوع هم ربطی به مدیریت جوملا ، ورد پرس و ... ندارد
بلکه تمامی سایت ها حتما راه نفوذي دارند .
قصد ما در این بخش سعی در قفل و زنجیر کردن سایت است که مسلماً کار را براي مهاجمان به سایتمان سخت تر
خواهد نمود . یک نکته هم در رابطه با هکر ها )مهاجمان( باید متذکر شویم اصولا هکر ها میباید یا داراي سواد
بالایی باشند و یا از سواد نسبی خوبی برخوردار باشند به همین دلیل این دسته از افراد اکثراً در استخدام شرکت هاي
امنیتی بزرگ هستند و حقوق بسیار بالایی هم دارند و قابل احترام هستند. اما خود هکر ها به 2دسته تقسیم میشوند:
حا
اصطلا هکر هاي سفید و سیاه که خوب از لقبی هم براي خودشون انتخاب میکنند مشخصه هر کدام داراي چه
خصوصیاتی هستند البته خود این دسته ها هم به شعب مختلف تقسیم میشه و حتی زبان نگارش مخصوص خودشون
هم دارند . خلاصه دنیاییه ! در این بخش قصد نداریم به این تاریخچه بپردازیم تنها قصد ما بهبود امنیت است لذا از
این بحث میگذریم . قبل از هر چیز باید بدانید یک هکر میتواند از 2طریق کلی سایت شما هک کند :
-١از سمت سرور
-2از سمت سایت
الف ( حمله از سمت سرور
در این حالت حمله کننده به سرور دسترسی دارد و آنچنان کاري از شما بر نمیاید هر چقدر هم امنیت سایتتان را بالا
برید فایده اي ندارد چرا که حمله کننده اصلاً به سایت شما کاري ندارد و به منابع سرور دسترسی دارد . اما چند نکته
را باید در نظر بگیرید:
-1اول اینکه سروري انتخاب کنید که قبلاً هک نشده باشد . براي این انتخاب باید به شنیده هاي خود اعتماد کنید و
یا پاشنه ها را بالا بکشید و شروع کنید به جستجو در سایت هایی که تصاویر هک سایت ها را میگذارند سپس سرور
آن ها را پیدا نمایید و ....
-2در هنگام خرید هاست باید به ردي
موا که مربوط به تنظیمات سرور است دقت کنید ازجمله به موارد زیر:
1-2قبل از خرید هاست از سرپرست سرور بپرسید که آیا در PHPاز su_phpاستفاده میکنند با خیر ؟
استفاده از این حالت به معنا ي آن است که فایل هاي موجود در هاست شما تحت کنترل خود دارنده اکانت که شما
باشید میباشد و نیازي به تنظیمات GLOBALنیست به زبان ساده تر در این حالت سطح دسترسی 755توسط
اسکریپت قابل نگارش تشخیص داده میشود و نیازي نیست که شما این سطح دسترسی ها را به 777تغییر دهید .
وقتی دسترسی یک پوشه را روي 777قرار میدهید به معناي آن است که محتویات آن را براي عموم آزاد کرده اید !
register_globals 2-2در سرور که سایت جوملایی روي آن قرار دارد باید خاموش باشد
safe_mode 3-2در سروري که یک سایت جوملایی بر روي آن قرار دارد باید خاموش باشد
allow_url_fopen 4-2در سروري که یک سایت جوملایی بر روي آن قرار دارد باید خاموش باش.
allow_url_include 5-2در سروري که یک سایت جوملایی بر روي آن قرار دارد باید خاموش باشد.
disable_functions 6-2در سروري که یک سایت جوملایی روي آن قرار دارد باید فعال باشد.
7-2همین موارد هم باید براي open_basedirصدق میکند منتها اگر سرور از su_phpاستفاده کرده باشد
این گزینه دیگر داراي اهمیت نیست.
-3یکی دیگر از مواردي که در هنگام خرید هاست باید از سرپرست فنی سرور بپرسید این است که آیا بر روي سرور
برنامه هاي امنیتی مثل آنتی شل نصب است یا خیر ؟
شل ها برنامه هاي کوچکی هستند به هکر ها قدرت دسترسی به برخی منابع را میدهند . اگر جواب سرپرست سرور
بلی بود اسم برنامه را هم بپرسید و در مورد آن تحقیق کنید . هزینه این برنامه براي سرور ها بسیار بالا است و تا
300دلار هم میرسد به همین دلیل برخی سرور ها از این امر غفلت میکنند.
-4از سرپرست سروتان بپرسید که آیا براي ورود به phpmyadminدوباره نام کاربري و رمز عبور پرسیده میشود و
یا خیر ؟
این ها حداقل مواردي است که قبل از خرید باید از سرپرست هاستتان بپرسید به دلیل آنکه در این مقاله قصد داریم
راه کار ارائه دهیم تا اینکه روش ها را توضیح دهیم به همین دلیل از ذکر مفاهیم بالا خودداري میکنیم و تنها به اینکه
این موارد باید در سرور داراي چه تنظیماتی باشد اکتفا میکنیم . گروه امیدوار است که مدیران سرور ها هم این
بخش را بخوانند وتنظیمات سرورهاي خود را بهینه نمایند. البته همانطور که عرض شد این ها حداقل ها هستند.
ب( حمله از سمت سایت
این حمله ها به روش هاي گوناگونی انجام میشود که مهمترین هاي آن استفاده از
_$POST
_$GET
_$COOKIE
eval()
base64_decode
Allow_url_fopen
SQLفیلتر دستورات
Allow_url_include
میباشد. قبلا در سایت یک پلاگین امنیتی معرفی شده بود که با نصب آن امنیت سایت در مقابل این حملات
بالا میرفت این پلاگین را میتوانید از آدرس
http://www.joomina.ir/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-D8%B3%D8%A7%DB%8C%D8%AA/joomina-:
decurityt.html
نجا
ای دریافت و نصب و فعال کنید . نکته اي که رابطه با این پلاگین بود درج کپی رایتی بود که در پایین سایت قرار
داشت براي این که کپی رایت هم بردارید .وارد فایل jhackguard.phpشوید و خط
$replacement="xxxxxxxxxxx";
را با عبارت زیر جایگزین کنید:
$replacement="" ;
به این ترتیب کپی رایت هم حذف میشود دوباره فایل را فشرده نموده و نصب کنید.
بسیار خوب حال که جلوي این حمله ها را گرفتیم میباید وارد مرحله بعدي شویم در این مرحله کارهاي دیگري باید
انجام دهید که به ترتیب براي شما فهرست شده و آموزش داده میشود:
ب- ( 1نام کاربري خود را از adminبه نام کاربري دلخواه تغییر دهید.
براي این کار از منو بالا مدیریت کاربر را انتخاب نموده و بر روي نام کاربري adminکلیک کنید در صفحه جدید
این نام کاربري را به نام دلخواه تغییر داده و ذخیره را فشار دهید.
ب- (2از رمز هاي سخت استفاده کنید.
رمز خود را سخت انتخاب کنید بدین معناکه حتی المکان از حروف، اعداد و سمبل ها در رمز ورود خود استفاده نمایید.
ب- ( 3برروي پوشه ادمین خود رمز بگذارید.
این کار را براحتی میتوانید هم از طریق پنل هاست خود انجام دهید وارد گزینه Password Protect
Directoriesشوید و نام کاربري و رمز ورود خود را انتخاب نمایید .
ب- ( 4جوملا خود را بروز نگه دارید.
گروه طراحان وب همواره آخرین نسخه هاي بروز رسانی این سیستم مدیریت محتوا را منتشر مینماید شما
میتوانید بسته هاي بروز رسانی را دانلود نموده و از قسمت مدیریت افزونه ها همانند یک افزونه جوملا بسته
بروز رسانی را نصب نمایید.
ب- sef ( 5سایت خود را فعال نمایید.
در مبحث ارتقا سایت جهت موتورهاي جستجو مفاهیمی همچون sefو seoمطرح میشود به صورت خلاصه sef
اصلاح کننده لینک هاي یک سایت است . اهمیت این نکته زمانی است که شما در سایت خود از افزونه هاي مختلفی
استفاده میکنید . ممکن است برخی از افزونه ها داراي حفره هاي امنیتی باشند اگر sefرا در سایت خود فعال ننموده
باشید هکر میتواند در گوگل نام افزونه اي که در سایت شما بکار رفته است را جستجو نماید براحتی سایت شما را
مورد حمله قرار دهد . براي فعال نمودن sefدر جوملا کافی است به روت سایت خود رفته )بوسیله فایل منیجر
هاست ( و فایل با نام htaccess.txtرا نامش را تغییر دهید بدین صورت که .txtرا از انتهاي آن پاك نموده و
در ابتداي آن یک "." )نقطه( بگذارید.
نکته : زمانی که میخواهید وارد فایل منیجر شوید از شما پرسیده میشود که فایل هاي مخفی نمایش داده شود و یا
خیر .htaccessبراي سرور ها فایل مخفی شناخته میشود به همین دلیل پس از آنکه شما این نام را تغییر میدهید.
ممکن است آن را نبینید که با این کار این مشکل حل میشود.
در گام بعدي وارد مدیریت سایت خود شده و در قسمت تنظیمات اصلی )پیکربندي( از تب سایت از قسمت تنظیمات
SEOگزینه ها را بر روي بلی قرار دهید.
در برخی از موارد مشاهده شده که بعضی از سرور ها با فعال نمودن تمامی موارد مشکل دارند براي همین میتوانید
تک به تک گزینه ها را بر روي بلی قرار داده و امتحان کنید.
ب- ( 6استفاده از .htaccessجهت ارتقا امنیت
این فایل همانطور که از نام آن هویدا است برخی دسترسی ها و .. را به سایت تنظیم مینماید براي اینکه امنیت سایت
خود را بالا ببرید این فایل را باز نمایید و دستورات زیر را در آن وارد کنید .
deny from all
<FilesMatch "index.php">
allow from all
</FilesMatch>
<FilesMatch "index٢.php">
allow from all
</FilesMatch>
براي اینکه این دستورات در htaccessدرست کار کند سرور شما میباید حداقل از 5.2 PHPاستفاده نماید این
دستور بدین معنا است که دسترسی خارجی به تمامی فایل ها به غیر از index.phpو Index٢.php
بسته باشد . در صورتی که پس از اجراي دستور با مشکلی مواجه شدید میتوانید آن را حذف کنید اما قائدتاً نباید
مشکلی وجود داشته باشد.
نکته : به این روش میتوانید از فایل هاي ترجمه شده خود نیز محافظت کنید.
ب- ( 9افزونه هایی که در سایت خود استفاده مینمایید را همواره بروز نگه دارید.
به عنوان مدیر یک سایت این وظیفه شما است که از بروز بودن افزونه هاي سایت خود مطمئن باشید براي این کار
میتوانید دائما به سایت هاي انتشار دهنده این افزونه ها سر بزنید و از بروز بودن آن ها اطمینان حاصل کنیدو البته
بسیاري از افزونه در قسمت مدیریتشان نسخه افزونه را اعلام میکنند.
ب- ( 10افزونه و فایل هایی که استفاده نمیکنید را پاك کنید !
ب- ( 11طول عمر کش را زیاد نکنید :این گزینه در پیکربندي سایت قرار داد و برخی موارد دیده ام که طول عمر
کش را برخی از سایت ها زیاد میکنند تا تعداد میهمانان را زیاد نشان دهد . ببینید در پوشه کش جوملا نام کاربري و
رمز ورود شما تا زمانی که جلسه کاري به پایان نرسد وجود خواهد داشت و سیستم شما را وارد شده فرض میکند
کافی است هکر به این پوشه و پوشه لاگ دسترسی پیدا کند و .... )راه استخراج را به دلایل امنیتی ذکر نمیکنیم (
ب - ( 12فایل هاي index.htmlموجود در پوشه ها را پاك نکنید.
این فایل یک صفحه سفید را نمایش میدهد یعنی اگر کسی مستقیما آدرس یک پوشه را وارد نماید با یک صفحه
سفید روبرو میشود . این مورد مخصوصا در پوشه logs , tmpخیلی مهم است.
ب- ( 13از سایت هایی که سایت شما را به صورت رایگان اسکن میکنند استفاده نمایید نمونه این سایت ها را
میتوانید از اینجا ببینید
http://hackertarget.com/joomla-security-scan/
ب- ( 14به غیر مواقع لازم از ftpاستفاده نکنید.
در صورتیکه از سروري که از su_phpاستفاده مینماید بهره میبرید نیازي به فعال سازي ftpنیست . حال فرض
کنید که اینطور نباشد . در صورتی که ftpرا فعال نمایید مشخصات آن در فایل configشما ثبت میشود حال اگر
هکر به این فایل دسترسی پیدا کند کل سایت شما در دستان وي خواهد بود ! به همین دلیل اگر هم مجبور شدید
ftpرا فعال کنید پس از استفاده آن را غیر فعال ) نام کاربري و رمز عبور آن را عوض کنید (نمایید . گرچه فعال بودن
ftpباعث بهبود سرعت سایت شما میشود.
ب- ( 15فایل configخود را کد کنید.
شما میتوانید این فایل را که تمامی مشخصات شما در آن قرار دارد کد نمایید گرچه کد شکن همه نرم افزار ها موجود
است اما باز هم کار را کمی براي هکر سخت میکند در این مورد بهتر است با سرپرست سرور صحبت نمایید.
این موارد تنها خلاصه اي از مواردي است که باید در سایت هاي خود بکار ببرید.

آدرس : تهران ، میدان انقلاب ، کوچه رشتچی ، پلاک ۱۴ (ساختمان ایرانیان) ،طبقه دوم واحد ۸

 

خط ویژه: ۶۶۹۲۸۷۸۷-۰۲۱

تلفن : ۶۶۹۲۸۰۴۰-۰۲۱ | ۶۶۱۲۴۱۴۹-۰۲۱ | تلفن همراه : ۰۹۱۲۳۷۹۰۵۸۸

فکس دیجیتال: ۸۹۸۷۷۳۷۳-۰۲۱

آدرس ایمیل : wnegaran[at]gmail.com 

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت وب نگاران پارسه می باشد