# زبان های اسکریپتی > PHP > امنیت در PHP >  نفوذ به هاست از طریق هک وبسایت

## lost_z

سلام دوستان.

یه سوال..آیا میشه یک هکر بیاد سایت ما رو هک کنه و بتونه به هاست من نفوذ کنه و به اطلاعات داخل هاست دسترسی پیدا کنه؟

خیلی درگیر این موضوعم تو نت هم چیزی نیافتم

----------


## maarek

شدنش که میشه. مشکل کجاست ؟

----------


## farhad_shiri_ex

> سلام دوستان.
> 
> یه سوال..آیا میشه یک هکر بیاد سایت ما رو هک کنه و بتونه به هاست من نفوذ کنه و به اطلاعات داخل هاست دسترسی پیدا کنه؟
> 
> خیلی درگیر این موضوعم تو نت هم چیزی نیافتم


اگر هاست اشتراکی باشه بله شدنی متاسفانه!!
اما اگر سرور مجازی ویندوزی ویا هاست لینوکسی غیر اشتراکی باشه از هر چند صد هزار برنامه نویس شاید یک یا دو نفر اونم فکر نکنم به سایت شما  attack داشته باشن اونها هکرهای کلاه سیاه هستند که معمولا با من و شما کاری ندارن...

----------


## MiladWorkShop

سلام

بله, در صورتی که هکر از طریق سایت شما امکان آپلود فایل داشته باشه به راحتی میتونه اقدام به آپلود شل کنه و به کلیه بخش های هاست و دیتابیس شما دسترسی داشته باشه

----------


## رامین مرادی

> سلام
> 
> بله, در صورتی که هکر از طریق سایت شما امکان آپلود فایل داشته باشه به راحتی میتونه اقدام به آپلود شل کنه و به کلیه بخش های هاست و دیتابیس شما دسترسی داشته باشه


خب الان آنتی شلرهای خوبی رو هاستها پیاده میشن که کار رو سختتر میکنه. مثلا من با یکی از هاستینگ ها این مشکل رو داشتم که یکی از فایل های منو پاک میکرد. کلی دنگ و فنگ و صحبت و پیگیری آخرش مجبور شدم هاستینگمو عوض کنم. فال هم برا یه افزونه معروف بود که حداقل صدهزار نصب فعال داشت و رو مخزن وردپرس هم تایید شده بود. ولی خب انتی شلر اینا گیر داده بود به فایل من. :خجالت:

----------


## lost_z

> سلام
> 
> بله, در صورتی که هکر از طریق سایت شما امکان آپلود فایل داشته باشه به راحتی میتونه اقدام به آپلود شل کنه و به کلیه بخش های هاست و دیتابیس شما دسترسی داشته باشه



پس فقط اگر امکان آپلود فایل وجود داشته باشه میتونن به هاست نفوذ کنن؟به غیر از این امکان پذیر نیست؟
پس من اگر رو قسمت آپلود فایل زوم کنم و امنیتش رو ببرم بالا احتمال نفوذ به هاست نیست درسته؟

در ضمن هاست من اشتراکیه و از میهن وب هاست خریدم.

----------


## lost_z

> اگر هاست اشتراکی باشه بله شدنی متاسفانه!!
> اما اگر سرور مجازی ویندوزی ویا هاست لینوکسی غیر اشتراکی باشه از هر چند صد هزار برنامه نویس شاید یک یا دو نفر اونم فکر نکنم به سایت شما  attack داشته باشن اونها هکرهای کلاه سیاه هستند که معمولا با من و شما کاری ندارن...


 :قهقهه:  :قهقهه: 

حالا من دقیقا متوجه نشدم منظورتون از اینکه اشتراکی اینه که اگر به یکی از هاست های سروری که من هم توش هاست دارم نفوذ بشه درواقع به هاست من و بقیه هاست های داخل اون سرور دسترسی پیدا میکنه؟ حتی اگر کد های من بدون مشکل باشه؟

----------


## رامین مرادی

> پس فقط اگر امکان آپلود فایل وجود داشته باشه میتونن به هاست نفوذ کنن؟به غیر از این امکان پذیر نیست؟
> پس من اگر رو قسمت آپلود فایل زوم کنم و امنیتش رو ببرم بالا احتمال نفوذ به هاست نیست درسته؟
> 
> در ضمن هاست من اشتراکیه و از میهن وب هاست خریدم.


تنها مسئله آپلود فایل نیست. همونطور که گفتم اگه فایلتون کدهای مخرب داشته باشه یه سری برنامه های نصب شده روی سرور اجازه اجرای اونو نمیدن. شما باید همه جوانب رو مد نظر قرار بدید مثل xss و ورودی و خروجی های سایتتون.

----------


## رامین مرادی

> حالا من دقیقا متوجه نشدم منظورتون از اینکه اشتراکی اینه که اگر به یکی از هاست های سروری که من هم توش هاست دارم نفوذ بشه درواقع به هاست من و بقیه هاست های داخل اون سرور دسترسی پیدا میکنه؟ حتی اگر کد های من بدون مشکل باشه؟


ببینید هاست اشتراکی رو مثل این در نظر بگیرید که توی یک درایو چندتا فولدر هست. فضایی که شما خریداری میکنید یکی از اون فولدرهاست . خب توی اون درایو چندتا فضا(فولدر )هست اگر فولدر شما هک بشه میتونه لیست بقیه فولدرهای(فضا های) موجود تو اون درایو رو هم بدست بیاره و به اطلاعاتشون دسترسی پیدا کنه.

----------


## MiladWorkShop

> خب الان آنتی شلرهای خوبی رو هاستها پیاده میشن که کار رو سختتر میکنه. مثلا من با یکی از هاستینگ ها این مشکل رو داشتم که یکی از فایل های منو پاک میکرد. کلی دنگ و فنگ و صحبت و پیگیری آخرش مجبور شدم هاستینگمو عوض کنم. فال هم برا یه افزونه معروف بود که حداقل صدهزار نصب فعال داشت و رو مخزن وردپرس هم تایید شده بود. ولی خب انتی شلر اینا گیر داده بود به فایل من.


اصلاً نمیشه روی آنتی شلرها حساب کرد به چندین دلیل که مهمترینش :

برخی از آنتی شلرها امکان شناسایی شلهای Encrypte شده رو ندارند

بیشتر آنتی شلرهایی که استفاده میشه امکان شناسایی شلهایی که به وسله نرم افزاهایی که loader دارن کد شدن ( مثل ioncube و sourceguardian ) رو نمیتونن شناسایی کنند

خیلی از آنتی شلرها در بازه های زمانی مشخص هاست رو اسکن میکنن مثلاً هر یک ساعت یکبار که یقیناً وقتی هکری شل آپلود کنه در همون دقایق اول هرکاری بخواد انجام میده




> پس فقط اگر امکان آپلود فایل وجود داشته باشه میتونن به هاست نفوذ کنن؟به غیر از این امکان پذیر نیست؟
> پس من اگر رو قسمت آپلود فایل زوم کنم و امنیتش رو ببرم بالا احتمال نفوذ به هاست نیست درسته؟
> 
> در ضمن هاست من اشتراکیه و از میهن وب هاست خریدم.


خیر, راه های هک خیلی زیاد هست, آپلود شل یکی از ساده ترین حالت های هک هست که بیشترین دسترسی رو به هکر میده

----------


## MiladWorkShop

> تنها مسئله آپلود فایل نیست. همونطور که گفتم اگه فایلتون کدهای مخرب داشته باشه یه سری برنامه های نصب شده روی سرور اجازه اجرای اونو نمیدن. شما باید همه جوانب رو مد نظر قرار بدید مثل xss و ورودی و خروجی های سایتتون.


درود

البته این گفته شما کاملاً اشتباه هست

در صورتی که هکر از طریق هک سایت یا حتی به دست آوردن اکانت یک هاست به هاست نفوذ کنه هیچ دسترسی به هاست سایر کاربران نداره, سطوح دسترسی هاست های اشتراکی محدودیت های زیادی داره

اگه گفته شما درست بود که طرف از یک شرکت یک هاست میخرید و به اطلاعات و هاست هزاران مشتری دیگه میتونست دسترسی پیدا کنه

گفته شما زمانی درست هست که فرد هکر بتونه به لایه های محافظت شده سرور نفوذ کنه, مثلاً دسترسی به root سرور

----------


## رامین مرادی

> درود
> 
> البته این گفته شما کاملاً اشتباه هست
> 
> در صورتی که هکر از طریق هک سایت یا حتی به دست آوردن اکانت یک هاست به هاست نفوذ کنه هیچ دسترسی به هاست سایر کاربران نداره, سطوح دسترسی هاست های اشتراکی محدودیت های زیادی داره
> 
> اگه گفته شما درست بود که طرف از یک شرکت یک هاست میخرید و به اطلاعات و هاست هزاران مشتری دیگه میتونست دسترسی پیدا کنه
> 
> گفته شما زمانی درست هست که فرد هکر بتونه به لایه های محافظت شده سرور نفوذ کنه, مثلاً دسترسی به root سرور


خب بیشتر هکرها برا بدست اوردن فقط یه سایت که تلاش نمیکنن شل آپلود کنن. مطمئنا بعد آپلود شل میتونن روت اونو هم به دست بگیرن با همون شلی که اپلود میکنن. تو یوتوب نمونه های خیلی زیادی هست. بازم دقت کنید من و شما از کلمه (بیشتر و برخی ) استفاده میکنیم . پس کلا نمیشه گفت صد در صد فلان کار شدنی هست یا نه. همونجور که گفتید برخی آنتی شلر نمیتونن بشناسن اما خب برخی هم هستن که میتونن شناسایی کنن.
آره خب محدودیت هایی هست که طرف نمیتونه به اطلاعات بقیه هاست ها دسترسی پیدا کنه. ما بحثمون سر کاربر هاست نیست. بحث سر یه هکریه که وقتی رو فضای یکی شل آپلود کرد با کدهای مخربش میتونه به سایر فضا ها هم دسترسی پیدا کنه. میتونه بعد از آپلود شل یه بار رو سرور  symlink تست بگیره و اگه دید میتونه روت کنه بعدش سرور رو bypass میکنه. اگه بازم اشتباه فک میکنم ممنون میشم منو راهنمایی کنید.


این تایپیک ارزش مطالعه رو داره
https://barnamenevis.org/showthread.p...2-%D8%A2%D9%86

----------


## plague

روی هاست های اشتراکی معمولا سیستم هایی مثل cloud linux رو نصب میکنن که هر هاست رو ایزوله و جدا میکنه توی محیط خودش و اگه کسی نفوذ کنه به یک هاست نمیتونه بره تو روت و به بقیه هاست ها دسترسی پیدا کنه 
ولی خیلی ها که vps میخرن معمولا اینکار رو نمیکنن چون کسی که vps میخره یا نمیدونه همچین خطری هست یا نمیخاد هزینه کنه .... و با هک یک هاست بقیه هم میره رو هوا

----------


## sara_aryanfar

> روی هاست های اشتراکی معمولا سیستم هایی مثل cloud linux رو نصب میکنن که هر هاست رو ایزوله و جدا میکنه توی محیط خودش و اگه کسی نفوذ کنه به یک هاست نمیتونه بره تو روت و به بقیه هاست ها دسترسی پیدا کنه 
> ولی خیلی ها که vps میخرن معمولا اینکار رو نمیکنن چون کسی که vps میخره یا نمیدونه همچین خطری هست یا نمیخاد هزینه کنه .... و با هک یک هاست بقیه هم میره رو هوا


کاملا حرفتون درست هست ما به عنوان برنامه نویس اطلاعات کمی در مورد امنیت داریم و کلا این حوزه متخصص خودش رو داره نهایت کاری که ما می تونیم بکنیم در سطح کد های خودمون هست اما کلا بحث های امنیت سرور و شبکه باید متخصص خودش رو داشته باشه در نتیجه وقتی شما از هاست اشتراکی داری استفاده می کنی این وظیفه رو به عهده اون شرکت ارائه دهنده میزاری که اگر شرکت معتبری باشه کملا موارد لازم رو پیاده می کنه در حالی که ما در vps نمی تونیم چنین تنظیماتی رو اعمال کنیم چون دانش لازم اون رو نداریم پس بهترین راهکار استفاده از هاست های اشتراکی یا اختصاصی که توسط این شرکت ها حمایت میشه هست البته باید دقت کنید شرکت کاملا معتبری رو انتخاب کنید

----------


## رامین مرادی

> کاملا حرفتون درست هست ما به عنوان برنامه نویس اطلاعات کمی در مورد امنیت داریم و کلا این حوزه متخصص خودش رو داره نهایت کاری که ما می تونیم بکنیم در سطح کد های خودمون هست اما کلا بحث های امنیت سرور و شبکه باید متخصص خودش رو داشته باشه در نتیجه وقتی شما از هاست اشتراکی داری استفاده می کنی این وظیفه رو به عهده اون شرکت ارائه دهنده میزاری که اگر شرکت معتبری باشه کملا موارد لازم رو پیاده می کنه در حالی که ما در vps نمی تونیم چنین تنظیماتی رو اعمال کنیم چون دانش لازم اون رو نداریم پس بهترین راهکار استفاده از هاست های اشتراکی یا اختصاصی که توسط این شرکت ها حمایت میشه هست البته باید دقت کنید شرکت کاملا معتبری رو انتخاب کنید


منم کاملا با این حرف موافقم. کانفیق و نگه داری سرور واقعا کار سختیه. اگه اطلاعاتتون واقعا مهمه و محرمانس یه سرور تهیه کنید و یه متخصص اون حوزه اونو مدیریت کنه. خیر اگه محرمانه نیست همون هاست های اشتراکی و اختصاصی جوابگو هست.

----------


## plague

> کاملا حرفتون درست هست ما به عنوان برنامه نویس اطلاعات کمی در مورد امنیت داریم و کلا این حوزه متخصص خودش رو داره نهایت کاری که ما می تونیم بکنیم در سطح کد های خودمون هست اما کلا بحث های امنیت سرور و شبکه باید متخصص خودش رو داشته باشه در نتیجه وقتی شما از هاست اشتراکی داری استفاده می کنی این وظیفه رو به عهده اون شرکت ارائه دهنده میزاری که اگر شرکت معتبری باشه کملا موارد لازم رو پیاده می کنه در حالی که ما در vps نمی تونیم چنین تنظیماتی رو اعمال کنیم چون دانش لازم اون رو نداریم پس بهترین راهکار استفاده از هاست های اشتراکی یا اختصاصی که توسط این شرکت ها حمایت میشه هست البته باید دقت کنید شرکت کاملا معتبری رو انتخاب کنید


البته صحبت من راجب بحث دوستان بود که آیا میشه از یک هاست به دیگر هاست های روی سرور نفوذ کرد یاخیر و اگه میشه چرا سرور هایی که هاست اشتراکی ارائه میدن هک نمیشن 

در مورد صحبت شما حرفتون درسته ولی برنامه نویس باید تا حدی از کد نویسی فراتر بره در بحث امنیت 
شما باید با  ساختار لینوکس و دایرکتوری ها و پرمیشن ها آشنا باشید

----------

