lucky-patcher-2

خرید درون برنامه ای رایگان با Lucky patcher

یکی از دوستان یک نرم افزار جالب بهم معرفی کرد گفتم بد نیست که توی وبلاگم معرفی کنم! 

این اپلیکشن Lucky patcher نام داره و استفاده های جالبی میشه ازش کرد! همانطور که از اسمش پیداست شانسی اپلیکشن ها رو پچ میکنه و امکاناتش به صورت مختصر به صورت زیر هستش

  • حذف تبلیغات گوگل پلی از داخل اپلیکشن ها(خودش گفته این ویژگی به صورت درست کار میکنه و به شانس وابسته نیست)
  • حذف لایسنس از نرم افزارهایی که برای فعال سازی احتیاج به لایسنس دارند.
  • دور زدن خرید درون برنامه ای یا خرید رایگان ((: البته در همه موارد این ویژگی جواب نمیده ولی ۵۰٪ شانس هم می ارزه به امتحانش :)

آخرین نسخه این اپلیکشن رو میتونید از اینجا دانلود کنید.

برای حذف لایسنس از اپلیکشن مورد نظر بعد از نصب روی اپلیکشن مورد نظر کلیک کنید و از منوی Patches :

برای حذف تبلیغات گوگل :

حالا بریم سراغ خرید درون برنامه ای :

lucky-patcher-in-app-purchase-2
بعد از نصب لاکی پچر اپلیکشن رو باز کنید و بر روی patch to android کلیک کنید
در این قسمت همه پچ ها رو تیک بزنید و apply را فشار دهید (:

سپس منتظر بمانید تا دستگاه ریبوت شود !

بعد از ریبوت شدن اپلیکشن را ببندید و اپلیکشن یا بازی که خرید درون برنامه ای دارد را باز کنید!

lucky-patcher-3
در اپ بدنبال خرید یا چیزی شبیه به این بگردید و آن را انتخاب کنید
یکی از گزینه های قابل خرید را انتخاب کنید!
یکی از گزینه های قابل خرید را انتخاب کنید!
لاکی پچر باز میشود و به شما میگوید که میخواهید این آیتم را رایگان دریافت کنید؟ شما با لبخند YESرا انتخاب میکنید (:
لاکی پچر باز میشود و به شما میگوید که میخواهید این آیتم را رایگان دریافت کنید؟ شما با لبخند YESرا انتخاب میکنید (:

خیلی ساده تر از چیزی بود که فکرش را میکردید ؟ پایرت کنید و لذت ببرید (:

البته این روش روی همه اپلیکشن ها جواب نمیده و راه هایی واسه جلوگیری داره که در تخصص من نیست ولی خوب میشه که دوستان در موردش بنویسند :) من مطلب فارسی در موردش ندیدم اگه سراغ داشتید کامنت کنید (:

خیابون گردی های یک بچه اسکریپتی

به بهانه هک شدن چندین سایت دولتی در ایران میخوام تجربه بچه اسکریپتی بودن و پیاده روی در بیرجند رو واستون بنویسم :)

چند وقت پیش با نرم افزار اندرویدی WIFI WPS WPA TESTER آشنا شدم و بسی آشنایی خوبی بود و از آشنایی با ایشون خوشحالم :) ایشون نرم افزاری هستند که باهشون میشه پسورد روترهایی که WPSشون روشنه و از پین دیفالت استفاده میکنند رو به دست آورد! مهم نیست پسوردشون چقدر پیچیده باشه وقتی این آسیب پذیری رو داشته باشه کمتر از ۳۰ ثانیه پسورد رو بهتون میده!

من یک گوشی گالکسی اس ۲ از شرکت سامسونگ دارم که واسه خودش فسیلی به حساب میاد و هر بلایی که میشه سر یک گوشی اندرویدی آورد سرش آوردم :)) این نرم افزار رو روی این گوشی نصب کردم (گوشی من رام سیانوژن ۱۲ رو داره ) و  در چهارتا خیابون اصلی بیرجند یعنی مدرس، معلم، پاسداران و غفاری تست کردم ! به نتیجه های جالبی رسیدم که به اشتراک گذاشتن اون ها با شما خالی از لطف نیست !

محیط آزمایش

من فقط توی خیابون قدم میزدم و روترهایی رو که wps باز داشتند رو تست میکردم

هیچ روتری رو دو بار تست نکردم

داخلی هیج کدوم از کوچه ها نرفتم

به صورت شیرازی وار در خایبون قدم میزدم

اشکالات آزمایش

متاسفانه من دیتای کاملی از آزمایش رو در دست ندارم (بکاپ نداشتم زدم گوشی رو فرمت کردم :((( ) ولی کاملا اطمینان دارم هیچ کدوم از پسوردهای هک شده بود ۱۲۳۴۵۶ و پسوردهای ساده نبود ! شماره تلفن زیاد بود ولی نه به تنهایی همیشه همراه یک اسم یا حرف!

اشکال دیگه ای که وجود داره من لیست کاملی از شبکه هایی که اسکن کردم رو ندارم !

فرض رو بر این گذاشتیم که فرد مهاجم هیج اطلاعتی از شما نداشته باشه حتی اسم شما رو ندونه !

شما میتوانید با دانلود و نصب  این نرم افزار (فکر کنم به روت نیاز داره) و پر کردن  این فرم  در رفع نواقص این تحقیق مرا یاری کنید :)

 

این نرم افزار چگونه کار میکند ؟

این نرم افزار دیتابیسی از مک آدرس روترها رو داره البته چند رقم اول (یا آخر الان حضور ذهن ندارم) که نشون میده که این روتر توسط چه کمپانی ساخته شده، کمپانی سازنده روتر wps پیشفرض رو دو گونه تعریف میکنه یکی بر اساس مک آدرس و الگوریتم خاص مانند بعضی روتر های دلینک که با ریورس کردن رام توسط هکرها این الگوریتم پیدا میشه   بعضی کمپانی ها هم برای هر سری از روترهاشون یک پین پیشفرض قرار میدن که بسیار روش شخمی است که بیشتر توسط تی پی لینک و کمپانی های درپیت مورد استفاده قرار میگیره (البته مسلما محصولات گران قیمت تی پی لینک اینجوری نیستند !  یعنی اگه باشند بهتره جمع کنه بره در کل من نمیدونم !! )

نتایج استنتاجی

  • ۹۰٪ موردم های tp-link و zyxel که توسط شرکت های ارائه دهنده خدمات اینترنت کانفیگ شدن این آسیپ پذیری رو دارند یعنی وی پی اس به صورت پیشفرض فعال است و از پین پیشفرض استفاده میکند!

ملاک برای تشخصی اینکه  مودم ها توسط ای اس پی کانفیگ شده اند این بود که نام شبکه بی سیم به نام شرکت ارائه دهنده بود یا پسورد شامل نام شرکت ارائه دهنده بود البته این استدلال خیلی دقیق و درستی نیست ولی جالب اینجاست که هیج یک از شرکت های ارائه دهنده یک اخطار درباره این موضوع در وبسایت و یا پنل کاربریشون قرار ندادند (من شرکت های های وب، شاتل، پارس انلاین، پیام آوران کویر، صبانت رو چک کردم) و این مودم های آسیب پذیر و ارزان قیمت رو به فروش میرسانند! جالبه که برای راه اندازی مودم بین ۵ تا ۱۰ هزارتومان هم هزینه دریافت میکنند!

بنظرم خیلی خوب میشه که وبسایت های تکنولوژی به جای ترجمه شایعات فیلان شرکت یک گزارش خوب در این باره بنویسند  مطمینا شرکت های ارائه دهنده خدمات اینترنت رو به حرکت وا میداره!

  • نکته ای که شکه کننده بودم برام این بود که دفتر دو روزنامه و چند شرکت بیمه از مودم های tp-link و zyxel استفاده میکردند که wps فعال داشتند و به راحتی و با رد شدن از جلشون مورد نفوذ قرارشون دادم ! (با استفاده از شماره موبایلی که روی تابلو قرار داده بودند براشون هشدار فرستادم امیدوارم که اصلاح کنند !)
  • نکته جالب اینجا بود که با این اپلیکشن نتونستم هیچ یک از روترهای d-link که wps فعال داشتند رو هک کنم ! حتی مودم ارزون قیمت ۷۰ هزار تومانی از این شرکت ظاهرا مودم های این شرکت از پین wps  دیفالت برای یک سری از محصولات استفاده نمیکنه! البته با لپ تاپ  لینوکسی خودم تونستم به یکی از این مودم ها نفوذ کنم که شرح از حوصله بنده خارجه خودتون میتونید سرچ کنید !
  • پیاده روی با هدف خیلی جذابه مخصوصا اگه همچین هدف سکسی داشته باشید حتما تست کنید مطمینا توی کلان شهر ها میتونید کلی اینترنت رایگان پیدا کنید و با پر کردن این فرم به ارضای حس کنجکاوی من کمک کنید :)

نکته امنیتی برای کابران عادی

  • مودم و روتر های اروزن قیمت شرکت های چینی رو نخرید ! مشکل فقط wps نیست، مشکل دیگه ای که وبلاگ پالس آزاد چند وقت پیش به اون پرداخته بود امینت پایین روترهای های تی پی لینک رو بخونید متوجه میشد که این ارزون بودن این مودم ها بی دلیل نیست!
  • در صورتی که از wps برای احراز هوییت استفاده نمیکنید حتما توی کنترل پنل مودمتون غیر فعالش کنید.
  • ربطی به مطلب من نداره ولی پورت ۸۰ روتر خودتون رو حتما ببندید و پسورد کنترل پنل رو از حالت دیفالت خارج کنید.
  • این نکته که دیگه اصلا ربطی به این بحث نداره ولی خیلی وقت بود دشمنی با ویندوز رو آشکار نکرده بودم : ویندروز سیستم عامل سوراخ و آشغالی میباشد ازش استفاده نکنید :)) لینوکس رو تست کنید شاید خوشتون اومد
  • کمی حرفه ای تر هستید میتونید از openwrt به عنوان سیستم عامل روترتون استفاده کنید که سیستم عاملی بر پایه لینوکس و متن باز هستش:)
  • در کامنت ها میتونید به کامل کردن مطالب کمک کنید (:

 

نقض حریم خصوصی توسط کانون فرهنگی آموزش قلم چی

چند وقته خبرهای زیادی میخونیم که گوگل، مایکروسافت و دیگر شرکت های بزرگ دارن حریم خصوصی کاربران را نقض میکنند! گفتم پستی راجب اینکه که قلم چی چجوری به صورت گسترده داره حریم خصوصی کاربرانش رو نقض میکنه بنویسم ! (البته باید اعتراف کنم که شاید این تیتر خیلی زرد باشه، واسه بعضی ها مهم نیست یا شاید این نقض حریم خصوصی واسه بعضی ها خوب بنظر بیاد!! در مورد شرکت هایی چون گوگل و مایکروسافت هم قضیه همینه!)

موسسه قلم چی تو تعهد نامه که از ما مشتری هاش میگیره نوشته که حق داره اگر شما رتبه شما زیر ۱۰۰۰ بشه یا جهش قابل ملاحضه ای داشته باشید میتونه اسم و کارنامه شما را به داوطلبان سال بعد نشون بده، خوب تا اینجای بحث داوطلبانی که رتبه بالا میارن خودشون رضایت دادن که کارنامه و اسمشون به داوطلبان سال بعد نشون داده بشه.

kanoon
با تشکر از صالح برای فرستادن این تصویر!

قلم چی طبق تعهد نامه میتونه اطلاعات رو در اختیار داوطلبان سال بعد قرار بده نه اینکه همه چیز به صورت اینترنتی بر روی وبسایتش منتشر کنه، شاید کسی بخواد راجع به رتبه اش دروغ بگه! مثلا رتبه ۹۰۰ آورده بگه من ۶۰۰ شدم چون علاقه داشتم فلان رشته رو زدم و الان اینجا قبول شدم. ( شاید واسه شما هم پیش اومده باشه که کسی اینجور دروغی بگه و شما با دسترسی داشتن به سایت قلم چی دست طرف مقابل رو رو کنید! )

در تعهد نامه ذکر شده نام و کارنامه ! ولی نام مدرسه و تصویر رتبه های برتر هم روی سایت قرار دارند نمیخوام خیلی حساس بشم ولی شما با این اطلاعات میتونید با استفاده از شبکه های اجتماعی دوستان دبیرستان این رتبه های برتر رو پیدا کنید کلی اطلاعات راجب گذشته این افراد کشف کنید. خیلی ها رو دیدم زمانی که میان دانشگاه از نام کاربری که قبلا تو شبکه های اجتماعی داشتند استفاده نمیکنند کلا همه چیز رو تغییر میدن و یه جوری از گذشته فرار میکنند اوناها دلیل خودشون رو دارند ممکنه مشکل عشقی احساسی یا هر چیز دیگه ای باشه به کسی مربوط نیست! ولی خوب قلمچی به افراد فضول و شاید هم هکرها میتونه کمک شایانی در استخراج اطلاعات از این افراد بکنه !

کانون فرهنگی آموزش چجوری میخواد بفهمه که شما رتبه آوردید ؟ طبیعتا اطلاعات کل مشتری هاش رو بررسی میکنه تا بفهمه ! خوب اینجا حریم خصوصی خیلی ها نقض میشه!

آیا قلم چی از اطلاعات مشتری هایی که این شرایط رو ندارند چشم پوشی میکنه ؟ خوب از اونجایی که شرکت های تجاری خیلی خیلی اطلاعات رو دوست دارن و اطلاعات و آمار یه جورایی قدرتی شده واسه دکان کنکوری باز کردن (واقعا چرا؟!!) و داره از اطلاعات همه مشتری هاش استفاده تجاری میکنه! مثلا به تصویر زیر توجه کنید :

torbat-LOOLبا انتخاب گروه آزمایشی (ریاضی) رشته (مهندسی کامپیوتر) از (دانشگاه صنعتی بیرجند) در سال ۹۳ لیستی از وردی های سال گذشته دانشگاه خودمون رو بیرون کشیدم!

دوستی داشتیم که ادعا میکرد با زدن درصد ۴۰ در ریاضی اینجا قبل شده و رتبه کنکورش ۱۳ هزار بوده و میانه تراز کانونش ۵۸۰۰ بوده ! از اونجایی که کانون فرهنگی آموزش به صورت مخوفی همه اطلاعات رو ذخیره میکنه ما بالا ترین رتبه وردی ۹۳ در دانشگاه که اهل تربت حیدریه باشه رو پیدا کردیم! رتبه ایشون حداکثر میتونست ۱۵۴۱۹ باشه و درصد درس ریاضی هم میتونست ۱.۹٪ باشه. خوب کاری که انجام دادیم تجاوز به حریم خصوصی بود!(اجازه برای این داستان گرفته شده ولی نام ذکر نمیشه) درسته که به اصطلاح این روی این دوست عزیزمون رو کم کردیم ولی خوب کانون فرهنگی آموزش حق نداره اینجوری و بدون هیچ اطلاعی اسامی همه مشتری هاش رو منتشر کنه، شاید مردم نمیخوان کسی راجع به رتبه کنکورشون بفمه ! البته داستان همینجا تموم نمیشه مشکل اصلی اسپم هایی هست که قلم چی بعد از ۳ سال داره برای من ارسال میکنه :-|  

همیشه داستان اینجوری نیست که رتبه طرف اشتباه شده باشه ! افرادی رو میشناسم که رتبه عالی آوردن ولی نمیگن ! دوست ندارن مردم بدونند دوست ندارند ازشون سوال بشه با به هر دلیل شخصی دیگه ای که به من و شما و کانون فرهنگی آموزش مربوط نیست !

تو مقاله دانش آموزان قلم چی رو مشتری خطاب کردم چون بنظر من این موسسات کاسبی هستند! اونقدر که فکر میکنید لازم نیستند حتی واسه بعضی ها ضرر دارند.

مسئله اینجاست که مشتری های بنیادی که وقف عام شده کمک میکنند دیتابیس این بنیاد غنی تر بشه و در قبالش هزینه خیلی زیادی هم پرداخت میکنند! البته طراحی و اجرای این آزمون ها هزینه بر خواهد بود ولی فکر نمیکنم به این اندازه ای که از مشتری ها پول میگیرند هزینه بر باشه!  مسئله دیگه ای هم که وجود داره اینه که وقتی شما واسه آزمون هاش ثبت نام میکنید به زور شما رو مجبور به خریدن کتاب های واقعا مزخرف خودشون میکنند، که خودش یک پست وبلاگی میشه:)

 امیدوارم سیستم آموزشی کشور روزی به جایی برسه که همه این دکان ها بسته بشوند!

پ.ن: امیدوارم تنفرم از این بنیاد باعث نشده باشه این پست را زیادی زرد بنویسم:)

Fern wifi cracker

ابزار پایتونی برای هک شبکه های بی سیم

من امروز توی گیت هاب دنبال ابزارهای پایتونی در زمینه امنیت شبکه میگشتم که به یک ابزار برخورد کردم، این ابزار واسه کسایی که دانش امنیت ندارند و میخوان وای فای همسایه رو هک کنند خیلی عالی به نظر میرسه!!! این ابزار Fern WiFi Cracker‌ نام داره نسخه رایگان اون روی توزیع های اوبونتو، بک ترک و کالی نصب میشه ! کلا چیز خاصی نداره شما باید یکی از توزیع های گنو لینوکس با میزکار KDE یا GNOME داشته باشید و پکیج های زیر رو روش نصب کنید:

من از توزیع اوبونتو با میزکار GNOME استفاده میکنم، این پکیج ها هم در مخازن اوبونتو موجوده و من نصب کرده بودم. بعد از نصب شما باید مخزن گیت هاب برنامه رو کپی کنید:

بعدش فقط کافیه به دایرکتوری برنامه رفته و برنامه رو با دستور زیر اجرا کنید:

نسخه غیر رایگان برنامه میتونه از GPU  و دیتابیس Mysql  برای کرک استفاده کنه که سرعت به مراتب بالاتری داره. در کل این ابزار فقط اومده ابزارهای هک شبکه بی سیم رو به هم وصل کرده و یک رابط کاربری براش ساخته حتی ابزار های نسخه غیر رایگان هم همگی وجود دارند و روی همه توزیع های لینوکس نصب میشوند و روی کالی لینوکس هم به صورت پیش فرض موجود هستند!

برای هک شبکه های بی سیم WPA شما به یک پسورد لیست احتیاج خواهید داشت که میتونید برای ساخت پسورد لیست از Curnch استفاده کنید. این ابزار روی کالی لینوکس موجوده ولی به راحتی میتونید اون رو روی اوبونتو نصب کنید. اول برنامه رو از اینجا دانلود کنید. سپس به دستورات زیر نصب کنید:

اگه میخواهید لیست شماره موبایل درست کنید، کدی که من باهاش شروع به یاد گرفتن پایتون کردم شاید به دردتون بخوره :دی

این کد باعث شد از پایتون خوشم بیاد، چون با چندتا سرچ بدون هیچ دانش پایتونی تونستم نیم ساعته بنویسم :) به عنوان یادگاری واستون گذاشتم!

کارت وای فای که من واسه این کار استفده کردم TPLink TL-WN722N WiFi Adapter :

این کارت وای فای قیمت مناسبی داره که من از دیجیکالا خریدم، شما میتونید اون رو از بازار یا هرجای دیگه تهیه کنید به راحتی گیر میادد. کارت های آلفا بهتر هستند که من موقع خرید نتونستم توی هیچ سایتی پیدا کنم. البته همین کار شما رو راه میندازه نیاز به هزینه بیشتر نیست، فقط کارتهای آلفا به دلیل آنتن بهتر برد بیشتری دارند! در ضمن این نکته رو بگم شاید کارت شبکه بی سیم لپ تاپ شما هم بتونه این کار رو انجام بده !

البته من از این نرم افزارهایی که باعث میشن اسکریپت کدی ها به وجود بیان اصلا خوشم نمیاد! هدفم از این مطلب این بود که واسه هک وای فای لازم نیست کالی لینوکس نصب کنید!

finding-shell-backdoor

تجربه سخت : پیدا کردن بکدور و شل‌های یک هکر بعد از چند ماه!

چند روز قبل یکی از دوستان خواست که هاستش رو براش اسکن کنم و شل هایی که یک هکر بر روی هاستش گذاشته بود رو پاک کنم، این نکته رو ذکر کنم که این هکر حدود چند ماه پیش به هاست این دوستم نفوذ کرده و دست به دیفیس زده بود، حدود سه ماه بعد از دیفیس با ادمین سایت تماس گرفته و گفته بود در ازای مبلغی هاست رو پاکسازی میکنه و تاکید کرده بود که این دیفیس کار اون نیست و برای اثبات حسن نیت خودش در حالی که با ادمین سایت در حال چت کردن بود یک بار دیگه سایت رو برای چند دقیقه دیفیس میکنه و بعد به حالت اول بر میگردونه!

مشکلاتی که در این پروژه داشتم!

لاگ های آپاچی‌ در تاریخ دیفیس اول وجود نداشت!

در کمال تعجب هاست مورد نظر (پس از انتقال هاست دوستم به سرور دیگه نام شرکت هاستینگ رو فاش خواهم کرد) لاگ ها رو به صورت خیلی نامرتب تحویل داد برای مثال لاگ های ۲ سال پیش موجود بود ولی لاگ چند ماه از امسال موجود نبود ک یکی از اون ماه ها تاریخ دیفیس بود، این نکته رو ذکر کنم که هکر لاگ ها رو پاک نکرده؛ لاگ های ماه دیفیس دوم به وضوح این نکته رو میرسونه!

پروسه پشتیبانی گیری در سی پنل توسط شرکت ارائه دهنده غیر فعال شده بود

این شرکت در تنظیمات سی پنل بکاپ رو به صورت کامل غیر فعال کرده و باید پروسه پشتیبانی گیری به صورت دستی انجام میشده یعنی با فشرده سازی فایل ها و بکاپ گیری از ۹ دیتابیس بوسیله  PHPmyAdmin که طبیعتا دوست عزیزمون عمرا این کارها رو به صورت منظم انجام نمیداده! پس راهی جز پاکسازی شل های هکر وجود نداشت!

امنیتِ داغون هاست های این شرکت هم مورد بحثه چون شل کدی که پیدا کردم توی هاست های دیگه اصلا اجرا نمیشد و هیچ دسترسی نداشت

مرحله اول باید مطمئن میشدم که هکر دروغ میگه و یک نفوذگر بیشتر وجود نداره !

لاگ های همین ماه که هکرِ به حساب با اخلاق سایت رو برای نشون دادن حسن نیست دیفیس کرده بود رو در اختیار داشتم، اولین حدسم این بود که این هکر دروغ میگه و خودش دفعه اول نفوذ کرده و دیفیس رو انجام داده، خوب با این که من لاگی در اختیار نداشتم ولی تاریخ ویرایش فایل ها رو میتونستم ببینم! باید دنبال فایل های php میگشتم که در ماهی که سایت برای اولین بار مورد نفوذ قرار گرفته ویرایش شدند و در ماهی که سایت برای دفعه دوم  دیفیس شده مورد استفاده قرار گرفته اند!

چون دسترسی SSH  به سایت نداشتم به صورت دستی فایل‌ها و فولدرهایی که ماه مارچ (تاریخ اولین دیفیس) ویرایش شده اند رو خیلی سریع نوشتم ( فقط از شاخه های اصلی) که خوشبختانه زیاد نبودن!

بعد با دستور زیر کل لاگهایی که از همه زیر دامنه ها در ماه های بعد از دیفیس شدن رو داشتم رو به یک فایل تبدیل کردم، البته در این مرحله نیاز نبود ولی در مراحل بعدی به کارم میاد!

با دستور دوست داشتنی grep لاگهای تاریخ و ساعت دیفیس دوم رو کشیدم بیرون !

از دستور زیر شروع کردم به جست و جوی دایرکتوری ها و فایل هایی که اسمشون رو قبلا جمع آوری کرده بودم!

در کمال ناباوری نتیجه ها با توجه به بازدید بالای سایت خیلی کم بود و فقط سه فایل که چندین بار اجرا شده بودند که به اسم فایل های سی ام اس های نصب شده بودند از اونجایی که نتیجه بسیار مشکوک به نظر میومد سه فایل رو چک کردم ! یکیش شل کدی بود که هکر باهاش دیفیس انجام داده بود!

از اونجایی که هیچ هکری به یک شل یا بکدور راضی نمیشه اول اسم همون فایل رو توی سی پنل سرچ کردم و خیلی جالب بود که این جوجه هکر (الان که گیرش آوردم شد جوجه :دی)  همین شل کد رو به همین نام چندین جا آپلود کرده بود :)))

این نکته رو بگم که شل ۴ بار با base64 انکد شده بود و پسوردم داشت، منم با استفاده از این سایت دیکید کردم پسورد رو تغییر دادم و خودم شروع کردم به استفاده از شل کد برای گرفتن کانکت بک و اسکان های عمیق تر!

از اونجایی که این هکر نوب همیشه با یک الگو رفتار میکنه کل فایل های سایت رو برای پیدا کردن نام تابعی که شل رو باهاش انکد کرده بود و تابع های مشابه گشتم که به راحتی یک بکدور دیگه هم پیدا کردم، مطلب دوست عزیزم هوشمند در مورد شناسایی درهای پشتی در کدهای PHP  خیلی کمکم کرد که البته خیلی وقت قبل خونده بودمش :)) و همچنین این مطلب که از نظر فنی بحث رو کامل میکنه نیازی نمیبینم توضیحات بیشتری در مورد این بخش کار بدم چون این دو مطلب به اندازه کافی کامل هستند، اگه شما به مشکلی خوردید شاید بتونم کمک کنم میتونید بهم ایمیل بزنید!

حدس میزنم که کار دیگه ای نکرده باشه ! که یک راه برای فهمیدن نسبی این قضیه وجود داشت اونم اینکه فعالیت کلیه آیپی هایی که به این شل ها و درهای پشتی استفاده کردند رو آنالیز کنم ، این کارو کردم و فهمیدم که هکرمون خیلی هم جوجه نیست و دیتابیس های سایت رو دانلود کرده ! ولی از شل کد دیگه یا بکدوری توی کد های پی اچ پی استفاده نکرده بود! اسکن پایگاه داده هم نتیجه ای در بر نداشت فقط دانلودشون کرده بود!

حدس زدنِ درست کار من رو خیلی راحت تر کرد، اگه حدسم اشتباه بود راه خیلی طولانی تری در پیش داشتم، هر چند کلی اسکن و تست دیگه انجام دادم که چون نتیجه‌ای در بر نداشت ننوشتم تا مطلب زیاد طولانی نشه!

چند توصیه بسیار مهم

  • همیشه به صورت مرتب و زمان بندی شده از تمامی اطلاعات نسخه پشتیبانی تهیه کنید‌!
  • هاستی بگیرید که پشتیبانی خوبی داشته باشه و امکانات نرمالی مثل نمودارهای مصرف منابع و ذخیره مرتب لاگ ها رو داشته باشه !
  • بلافاصه بعد از هک شدن و یا مشکوک شدن به هک (مثلا افزایش مصرف پهنای باند بصورت چشمگیر) از یک متخصص امنیتی بخواهید سایت رو چک کنه!
  • همیشه پلاگین‌ها و سیستم های مدیریت محتوای خودتون رو آپدیت نگه دارید و بلا فاصله بعد از عمومی شدن آسیب پذیری ها اون ها رو پچ کنید یا اون قسمت از سایت رو از دسترس خارج کنید.
  • چون اهمیت این بند بسیار زیاده دوباره ذکر میکنم بکآپ، نسخه پشتیبان یا هر چی که اسمش رو میزارید رو به صورت مرتب تهیه کنید و در جایی غیر از هاستتون آپلود کنید(مثلا اکانت مگا! با ۴۰گیگ فضای رایگان) میتونید اسکریپ پی اچ پی یا پایتونی بنویسید که این کار رو واستون انجام بده! (بیزپلن خوبیه که اینجور سرویسی برای آرشیو بکاپ ها راه اندازی کنید! نمونه داخلی ندیدم!)

سخن پایانی

راستش رو بخواهید اگه عاشق اینکار نبودم عمرا انجامش نمیدادم، من یک متخصص امنیتی یا یک هکر به معنای نفوذگر یا یک فردی که تست نفوذپذیری میزنه نیستم. فقط به این مباحث علاقه دارم و گاهی صرفا برای ارضای غریزه این کار رو انجام میدم و به صورت مرتب مطالب در این مورد رو دنبال میکنم چون واسم جذابیت داره و این بار چون محدودیت های زیادی واسه انجام این پروژه وجود داشت و کلی منو عصبانی کرد نوشتم تا بفهمید اگه میزبان خوبی نداشته باشید دردسرهای زیادی میکشید، هاست خوب بگیرید حافظت از شما توسط متخصص ها بسیار راحت تره :)

در پایان از گنو/لینوکس و بخصوص دستورات find , grep تشکر میکنم