آموزش دایرکت ادمین، سی پنل، وب سایت پنل

خانه / اخبار هک و امنیت

اخبار هک و امنیت

دلایل هک شدن سایت و جلوگیری از آن

– بررسی از طریق scan بوسیاه آنتی شل CXS و ارائه گزارش اسکن
– میتوانید از طریق لینک زیر وضعیت سایت خود را بررسی نمایید.

https://sucuri.net/scanner
https://freescan.qualys.com

– بررسی لاگ های ورود به کنترل پنل و FTP​
​مشکلات اصلی:
قالب ها :
استفاده از قالب  های رایگان و بدون گسترش دهنده.  عموما احتمال اینکه محتوای مخرب در قالب های رایگانی  که در سایت های  متفرقه ارائه می شود بسیار زیاد است، بنابراین توصیه ما این است که هرگز از قالب های آماده استفاده نکنید.
پلاگین ها:
مکانی بسیار مناسبی برای مخفی کردن کد های آلود است، به سه علت :
– کاربران به پلاگین ها دقت و توجه نمیکنند​ و تنها آن را نصب میکنند.
– کاربران علاقه ای به بروز رسانی پلاگین ها ندارد.
– برخی پلاگین های از کدهای ضعیف و دارای احتمال آسیب پذیری استفاده میکنند.
پوشه آپلود:
به عنوان یک مدیر وب سایت هرگز پوشه آپلود را بررسی نمیکند! تنها فایل های خود را آپلود میکنید. آپلود کردن یک backdoor در این پوشه بسیار راحت است زیرا این فایل در میان هزاران فایل دیگر پنهان میشود. از طرفی دسترسی به این پوشه در حالت write قرار دارد و این نفوذ را برای هکر ها آسان تر میکند.
راهکارها:
– از پلاگین های malware scanner  مانند Sucuri (نسخه پرداخت شده بسیار کارامد است)
– حذف کردن قالب های و پلاگین های غیرفعال
– بررسی فایل config و محدود کردن دسترسی به این فایل
–  استفاده از پسوردهای قدرتمند و غیر ساده
– استفاده از password protect برای صفحه ورود به بخش مدیریت
– استفاده از پلاگین های محدود کننده لاگین Login Attempts
– غیر فعال کردن Editor قالب ها و پلاگین ها در داخل مدیریت
– محدود کردن دسترسی ها به پوشه ها و فایل های پر اهمیت
– بروز کردن هسته CMS و پلاگین ها
– حذف دیتابیس های اضافه و بدون کاربرد

آسیب پذیری Freak

Attack of the week: FREAK

داستان یک backdoor در encryption

Washington post  در مقاله ای یک اشکال ناامید کننده برخی از سرورهای TLS/SSL و کاربران که امکان کاهش امنیت در اتصالات TLS را فراهم میکند گزارش داده است. یک گروه از متخخصین رمزنگاری در INRIA، تحقیقات مایکروسافت و IMDEA آسیب پذیری ها جدی را در OpenSSL (به عنوان مثال، آندروید) و Apple TLS/SSL را که به یک مهاجم man in the middle اجازه میدهد تا امنیت اطلاعات از از حالت رمز نگاری قوی RSA به حالت export-grade تغییر دهند را کشف نموده اند.

Freak در واقع یک نوع حمله متقاطع روی کلید RSA است که میتوانید رمزنگاری بسیاری از سایت ها را بشکند. در واقع بسیاری از سایت ها از SSL استفاده میکنند که شامل الگوریتم های رمزنگاری قوی و الگوریتم های رمزنگاری ضعیف هستند. انتظار می رود تمام connection ها از نوع اتصال قوی ایجاد شود اما در بسیاری از موارد مهاجم می تواند وب سایت را مجبور به استفاده از الگوریتم های رمزنگاری، ضعیف تر و سپس رمزگشایی ترافیک ارسالی نماید.

در حقیقت به نوع حملات security rollback گفته می شود که مهاجم سعی میکند سیستم را مجبور به استفاده از گزینه های قدیمی و ناامن کند.

اطلاعات بیشتری در لینک های زیر قابل مطالعه است:

http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html

https://www.smacktls.com/

http://www.networkworld.com/article/2894746/microsoft-subnet/march-2015-patch-tuesday-5-of-14-rated-critical-and-microsoft-issues-a-fix-for-freak.html

آسیب پذیری جدی در پلاگین Seo vBulletin

Serious Vulnerability Found in vBulletin SEO Plugin

تیم vbulletin به تمام مشتریان خود را در مورد یک آسیب پذیری امنیتی بالقوه در پلاگین VBseo هشدار داده است. آسیب پذیری (CVE2014-9463) بنا به گزارش  Internet Brands کشف شده است.  از جایی که VBSEO دیگر گسترش پیدا نمیکند بعید است نسخه جدیدی از آن ارائه شود.

برای رفع این مشکل سه راه حل وجود دارد:

– حذف کامل افزونه VBSEO از سایت

اعمال پچ توصیه شده توسط تیم اصلی Vbulletin

– استفاده از فایروال در جهت جلوگیری و بهره برداری از این آسیب پذیری و بسیاری مشکلات امنیتی دیگر.

به نظر با استفاده از دسترسی از راه دور یک اسکریپت HTML غیر تصدیق شده unauthenticated به محتوای سایت inject میشود. ممکن است این تغییر از طریق کنترل کامل خط فرمان انجام شود.البته این موضوع بطور کامل تایید نشده است.

قسمتی از عملکرد این آسیب پذیری بصورت زیر است:

The vulnerability can be patched by removing a couple of lines of code from the vbseo/includes/functions_vbseo_hook.php file. However, vBulletin noted that users should apply these changes at their own risk.

لینک خبر در فروم vbulletin

Data Breach چیست؟

Data Breach

Data Breache یک رویداد است  که شامل دسترسی غیر مجاز و یا غیر قانونی به اطلاعات برای  مشاهده ، دسترسی و یا بازیابی داده های یک فرد، برنامه و یا خدمات می باشد. این یک نوع نقض امنیتی به طور خاص  برای سرقت و  یا انتشار اطلاعات به موقعیت های نا امن و یا غیر قانونی طراحی شده است.

Data Breach به عنوان یک نفوذپذیری شناخته می شود.
Data Breach هنگامی که یک هکر  و یا مهاجم دسترسی غیر مجاز به پایگاه داده امن و یا اطلاعات اتفاق می افتد . هدف Data Breach به طور معمول به سمت  داده های منطقی و یا دیجیتال است و اغلب بر روی اینترنت و یا یک اتصال شبکه انجام میشود.

Data Breach  ممکن است در از دست دادن داده هایی از جمله مالی، اطلاعات شخصی و سلامت منجر شود .هکر نیز ممکن است داده های سرقت شده را در جهت دسترسی به جایگاه و نقطه دیگری استفاده نماید.. به عنوان مثال،  یک هکر از  اطلاعات معتبر بدست امده برای ورود به عنوان مدیر شبکه می تواند در جهت دسترسی  کل شبکه استفاده نماید.

در تصویر زیر ۱۰ داده مهم به سرفت رفته در سال ۲۰۱۳ را مشاهده می نمایید.

databreaches1

صفحات Google و Lenovo با استفاده از DNS attacks تغییر مسیر داده شدند.

Lenovo, Google websites hijacked by DNS attacks

صفحه سایت Lenovo و همچنین آدرس جستجو موتور جستجوگر google در هفته گذشته در کشور ویتنام hijack شد.

روز چهارشنبه گذشته آدرس اصلی سایت Lenovo در ویتنام،  تصاویر وب کم از یک مرد خسته جوان نشسته در اتاق خواب ، و آهنگ "آخرین رایگان" از دیزنی فیلم های قدیمی را نمایش میداد.

lenovo1-100570054-large
 

روز دوشنبه نیز سایت google.com به ادرس دیگری منتقل می شد. هر دو سایت قربانی domain hijacking شدند که حمله ای روی سرویس DNS برای تغییر مسیر IP با راهکار ترجمه اشتباه DNS می باشد. تغییرات ظاهرا از طریق وب سایت بازرگانی ارتباطات، شناخته شده به عنوان Webnic.cc، یک شرکت مالزیایی انجام شده است.

برای Lenovo تغییر مسیر nameserver ها به CloudFlare انجام شده است و سپس از طریق CloudFlare به مسیر دیگری redirect می شود.  CloudFlare سرویس دهنده رایگان DNS ادعا کرده که برای رفع این مشکل سریعا به Lenovo کمک کرده است. روز دوشنبه برای google.com هم اتفاق مشابه رخ میدهد که مراجعین به این صفحه را به آدرس دیگری منتقل مینماید.

ممکن است که Webnic.cc دارای آسیب پذیری در شبکه خود باشد که اجازه تغییرات را در دامنه ثبت شده میدهد.  این مشکلات لزوم راه اندازی و گسترش روش های جدید محافظت از اطلاعات ثبت شده در دامنه را با روش هایی مانند DNSSEC را روشن مینماید.

منبع خبر :

http://www.pcworld.com/article/2889392/like-google-in-vietnam-lenovo-tripped-up-by-a-dns-attack.html

فیشینگ چیست؟

Password Harvesting Fishing

what-is-phishing

phishing یک روش فریب کاربر برای بدست اوردن اطلاعات شخصی و مالی کاربران در اینترنت است. پیغام ها و آدرس ها اینترنتی بطوری تغییر داده میشود که کاربر در نگاه اول به اشتباه بودن آدرس صفحه مورد نظر پی نمیبرد. اغلب با جعل صفحات مشابه سایت های معتبر مانند سایت های پرداخت بانک کاربران را فریب میدهند. بنابراین همیشه در هنگام بررسی ایمیل ها و سایت های فروش توجه داشته باشید به چه مسیری برای پرداخت منتقل میشوید. هیچ گاه به ایمیل هایی که از سمت شرکت های معتبر برای شما ارسال شده و بصورت مستقیم یا غیر مستقیم میخواهد مشخصات خود را در لینک مورد نظر وارد کنید، سریعا اعتماد نکنید و با حوصله بیشتری این موارد را بررسی نمایید.

شبکه‌های اجتماعی و وب‌سایت‌های پرداخت آنلاین از جمله اهداف حملات فیشینگ هستند. علاوه بر آن، ایمیل‌هایی که با این هدف ارسال می‌شوند و حاوی پیوندی به یک وب‌سایت هستند در اکثر موارد حاوی بدافزار هستند. تمام حملات فیشینگ نیازمند وب‌گاه قلابی نیست. پیامهایی که ظاهراً از طرف بانک فرستاده شده و از کاربر می‌خواهد تا مثلاً به دلیل وجود ایراد در حسابشان، شماره خاصی را شماره گیری کنند، نیز می‌تواند حمله فیشینگ باشد. بعد از گرفتن شماره (که متعلق به فیشر است و با سرویس صدا از طریق آی پی مهیا شده‌است)، از کاربر خواسته می‌شود تا شماره حساب و پین (PIN) خود را وارد کند.توجه داشته باشید آدرس سایت ها را در زمانی که میخواهید اطلاعات حساب خود را وارد کنید بررسی نمایید و مطمئن شوید در سایت معتبر و یا بانک هستید و نه در یک صفحه شبیه سازی شده با آدرس جعلی!

توجه داشته باشید سایت ها و درگاه های بانکی معتبر از پروتکل امن https در ابتدای آدرس خود استفاده میکنند

یک نمونه از آدرس تقلبی را در تصویر زیر مشاهده میکنید.

fakeaddresss

کشف بات نت Ramnit botnet

Ramnit botnet

botnet

Botnet یا به عبارت دیگر zombie army به تعداد زیادی از رایانه های در معرض خطر گفته می شود که برای اهداف مانند تولید هرزنامه، گسترش ویروس  حمله DOS و غیره از آن استفاده می شود.

اغلب سیستم از طریق یک trojan که معمولا از طریق یک IRC یا یک همان کانال ارتباطی چت اینترنتی کنترل میشود ، در تمام طول مدت صاحبان این سیستم از آلوده بودن سیستم خود آگاه نیستند و قربانی این سواستفاده ابزاری می شوند. با توجه به گزارش تهدید سیمانتک امنیت اینترنت، طی شش ماه اول سال ۲۰۰۶، در  4،۶۹۶،۹۰۳ کامپیوتر بات نت فعال وجود داشته است..

مرکز EC3 طی عملیاتی یک بات نت که پیش بینی می شود ۳٫۲ میلیون رایانه در سراسر جهان آلوده کرده است را شناسایی و کنترل کرده است. این پروژه مشترک با کمک شرکت های Microsoft, Symantecو AnubisNetworks انجام پذیرفته است.

به نقل از سیمنتک، بات نت Ramnit  یک آدرس وب آلوده می باشد که با کنترل کامپیوتر های میزبان اقدام به آلوده کردن سیستم های ویندوزی با استفاده از ورود فایل های مخرب برای انجام عملیات فیشینگ می پردازد. همچنین FTP سرورهای عمومی نیز حاوی این botnet نیز کشف گردیده است. شناسایی به عنوان W32.Ramnit.B پس حداقل پنج سال از اولین مورد بصورت Worm در سال ۲۰۱۰ صورت پذیرفت. قدرت عملکرد این بات نت پس از ورود Zeus Trojan رشد پیدا کرد. نتایج نحوه عملکرد این بات نت بصورت زیر توسط محققین سیمنتک منتشر شده است:

Ramnit's authors have incorporated a number of features that make it difficult to banish from a compromised computer. During installation, it will place a copy of itself into the computer's memory as well as writing itself to the hard disk.
The memory-based copy actively monitors the hard disk and, if it detects that the hard disk-based copy has been removed or quarantined, it will drop another copy back on to the hard disk to keep the infection alive.

در تصویر زیر میزان کامپیوتر های آلوده به این بدافزار را در کشورهای مختلف مشاهده می نمایید.

botnetRamnit

 

دانلود ابزار شناسایی این بدافزار بصورت زیر می باشد:

Download  W32.Ramnit Removal Tool

ابزار متن بازِ کشف آسیب پذیری های شناخته شده ssl توسط گوگل

در ده ماهی که از سال ۲۰۱۴ میلادی گذشته است، چندین آسیب پذیری مهم در پروتکل SSL/TLS با حملات شناخته شده از جمله Hertbleed و Poodle شناسایی و معرفی شده اند. همین مسئله باعث شده است گوگل ابزاری را توسعه دهد که توانایی کشف آسیب پذیری های شناخته شده را داشته باشد.
به گزارش پایگاه اخبار امنیتی فن آوری اطلاعات و ارتباطات، این ابزار با نام NoGoToFail، به توسعه دهندگان اجازه می دهد زیرساختی را فراهم کنند تا حملات شناخته شده را علیه نرم افزار خاصی اجرا کنند و نتایج آن را بررسی نمایند تا قبل از ارائه ی یک نرم افزار دست کم آن را در مقابل حملات شناخته شده ایمن کنند. این زیرساخت توانایی اجرای حملات زیادی از جمله حملاتی که با عنوان حملات مردمیانی شناخته می شوند و یکی از مهم ترین دلایل شکست پروتکل های SSL/TLS هستند را دارد.

در واقع هسته ی اصلی این ابزار، مولفه ی راه اندازی حملات مردمیانی با نام notogofail.mitm است که ترافیک TCP را ره گیری می کند، این ابزار به جای اینکه مبتنی بر شماره ی پورت باشد، بر پایه ی DPI ترافیک آسیب پذیری را شناسایی می کند. تیم امنیتی گوگل، این ابزار را به نحوی توسعه داده است که بتواند روی هر سرویس گیرنده ای که به اینترنت متصل است، اجرا شود.
درواقع این ابزار روی سامانه عامل های موبایل iOS و اندروید نیز قابل استفاده است، هم چنین در سامانه عامل های رایانه های رومیزی از جمله لینوکس، OS X و ویندوز و البته سامانه عامل گوگل یعنی Chrome OS نیز می تواند مورد استفاده قرار بگیرد. موتور حمله ی این ابزار نیز روی مسیریاب، کارگزار و یا کارگزار پیش کار (پراکسی) سوار شود.

پروتکل های امنیتی لایه ی حمل و نقل از جمله SSL و TLS وظیفه دارند محرمانگی اطلاعاتی که منتقل می کنند را حفظ نمایند. پروتکل SSL تا حد زیادی قدیمی است و در سال جاری آسیب پذیری های این پروتکل کشف و در حملات سایبری قدرتمندی مورد استفاده قرار گرفته است. TLS از نسخه های جانشین و مابعد SSL می باشد و نسبت به SSL دارای مقاومت بیش تری است اما نسخه ی جدید TLS هنوز مانند نسخه های قدیمی SSL به صورت گسترده پشتیبانی نمی شوند.

یکی از مشکلاتی که در حملات SSL/TLS وجود دارد این است که قربانی معمولاً از وجود این حملات آگاه نیست و با اتصال به وب گاه های بانک و خرید برخط، اطلاعات محرمانه ی حساب کاربری خود را وارد می کند و مهاجم این اطلاعات را به صورت رمز نشده می خواند و می تواند به راحتی از آن ها سوء استفاده کند.

ابزار NoGoToFail به عنوان یک پروژه ی متن باز از طریق مخزن کدهای گیت هاب در دست رس است.

 

برنامه های مایکروسافت برای غیرفعال کردن SSLv3

یک ماه پس از این که سایر توسعه دهندگان مرورگر ها از جمله فایرفاکس و گوگل کروم برنامه های خود برای مقابله با حملات Poodle و آسیب پذیری SSLv3 را اعلام کرد ه اند، بالاخره مایکروسافت نیز گزارش داد برنامه هایی برای غیرفعال کردن پروتکل ضعیف SSLv3 در مروگر اینترنت اکسپلورر و سایر سرویس های برخط این شرکت دارد.

به گزارش پایگاه اخبار امنیتی فن آوری اطلاعات و ارتباطات، آسیب پذیری و ضعف پروتکل SSLv3 مدت های زیادی است که در بستر اینترنت وجود دارد، اما از ابتدای اکتبر با معرفی حملات Poodle که علیه پروتکل SSLv3 توسط محققان گوگل کشف شده بود، همه ی شرکت های نرم افزاری و در صدر آن ها توسعه دهندگان مرورگرها بر آن شدند این پروتکل را غیرفعال نمایند.

در حملات Poodle، مهاجم می تواند با سوء استفاده از ضعف موجود در پروتکل SSLv3 به ترافیک رمزنشده ی کاربر دست رسی پیدا کند.

البته برای این کار لازم است مهاجم در ابتدا ارتباط کاربر را به نحوی تغییر دهد که این ارتباط به صورت اجباری برای رمز نگاری از پروتکل قدیمی SSLv3 استفاده کند، این امر نیز با استفاده از این ویژگی که در صورت شکست یک ارتباط رمزنگاری، کارگزار یا سرویس گیرنده (در این جا مرورگر وب) سعی در ایجاد ارتباط با یک پروتکل قدیمی می کنند، انجام می گیرد. SSLv3

نزدیک به ۱۵ سال پیش توسعه پیدا کرده است و محققان امنیتی مدت ها پیش در مورد آسیب پذیری های این پروتکل هشدار داده بودند، اما حمله ی خاصی برای سوء استفاده از آسیب پذیری های آن معرفی نشده بود.

محققان هشدار داد بودند که باید از نسخه های جدید تری از جمله TLS 1.2 به جای این نسخه ی قدیمی برای رمزنگاری مورد استفاده قرار بگیرد.

اما هنوز بسیاری از وب گاه ها و البته مرورگر از رده خارج شده ی IE6 هنوز از این پروتکل به صورت پیش فرض استفاده می کنند.

اگرچه در مورد خطرات مرورگر اینرتنت اکسپلورر بارها اخباری منتشر شده است و اگر واقع بین باشیم هیچ کاربرِ آشنا به امور امنیت اطلاعات از این مرورگر به صورت دائمی استفاده نمی کند، اما هنوز کاربرانی هستند که در مواقع اضطراری و زمانی که هیچ مرورگر دیگری در دست رس نیست از یک نسخه ی قدیمی IE با آسیب پذیری های فراوان استفاده می کنند و از همین روش راه را برای حملات سایبری علیه ماشین مذکور باز می کنند.

بنابراین باید به روز رسانی و امنیت این مرورگر بسیار جدی گرفته شود و مسئولان امنیتی به خصوص در سازمان ها به روز رسانی های ویندوز را به موقع دریافت و نصب کنند و از نسخه های اصلی این محصول استفاده کنند تا کل شبکه ی یک سازمان تبدیل به یک شبکه ی بدافزاری نشود. برای از کار انداختن SSLv3 به صورت دستی باید وارد تنظیمات مرورگر اینترنت اکسپلورر شوید و از زبانه ی Advanced گزنیه ی استفاده از این پروتکل را از حالت انتخاب خارج کنید.

هک اندروید

با برنامه بینگ مایکروسافت در اندروید میتوان اسمارتفون را در ده ثانیه هک کرد.

به نقل از دیتاسکوریتی بریچ, اکنون که این خبر انتشار میابد مایکروسافت این مشکل را برطرف کرده اما باید که کاربران اسمارتفونهای اندروید حتما بینگ را بروز رسانی نمایند.

چند روز پیش هکری کشف کرد که چگونه میتوان اسمارتفونی با سیستم اندروید را توسط بینگ در عرض ده ثانیه هک کرد. این محقق شرکت Trustlook باعث شد تا مایکروسافت برنامه خود را به نسخه ۴٫۲٫۱ ارتقا دهد.

روش حمله بسیار اسان بود. اسمارتفون کانکت به وای فای با کانکشنی غیر ایمن باعث میشد تا کنترل و دسترسی به اطلاعات ارزشمند کاربر میسر شود.

Trustlook اعلام کرده است که حدود یک میلیارد مالک اسمارتفون با این اسیب پذیری در خطر هستند.

به گزارش ترفندستان , مایکروسافت نشان داده که برنامه ها برای اسمارتفون های سریع ساخته و ارائه شده اند و کاربرانی که انها را نصب میکنند از اینکه جاسوسانی واقعی را نصب مینمایند اگاه نیستند. این برنامه های جاسوس میتوانند اس ام اس های کاربران را خوانده و عکس و ویدیو گرفته و یا حتی صداهای مجاور اسمارتفونها را ضبط نمایند و بعلاوه میتوانند در زمان واقعی موقعیت جغرافیائی کاربر را پیگیری کنند.

12