# مباحث متفرقه برنامه نویسی > تالار های مرتبط با شبکه و امنیت >  راه های نفوذ به سایت و سرور

## jafar2012

hi
در این تاپیک قصد دارم راه های هک وب سایت رو بگم و همچنین راه های جلوگیری از اون و از تمامی دوستان دعوت می کنم این تاپیک رو کامل کنند.

----------


## jafar2012

hi
این مطلب رو با مطالعه و استفاده از منابع دیگر نوشتم
اولین نکته ای که بایستی گفته بشه این هست که امنیت هیچ موقع 100% نیست و علم هر روز در حال پیشرفت هست و البته اگر دقت بیشتری کنیم شاید بشه گفت این پیشرفت با این سرعت می تونه مشکلاتی رو هم بوجود بیاره دو مورد دیگر رو هم اضافه کنم
همیشه سعی کند برنامه هاتون رو به روز نگه دارید(البته در بعضی برنامه ها بایستی احتیاط کرد) حالا چرا بروز باشیم؟
به عنوان مثال اگر شما انتی ویروس نصب می کنید بایستی همیشه بروز نگه دارید نمی تونید انتی ویروس رو نصب کنید و بگید دیگه این سیستم مشکلی براش پیش نمیاد
پس برنامه های مورد استفاده هم بایستی به روز باشند مثل سیستم مدیریت محتوا افزونه ها انتی ویروس نصب شده و...((صرفا جهت مثال))
مورد آخر انتخاب میزبان مناسب اگر سایت شما هیچ مشک امنیتی نداشته باشه و کاملا تنظیمات امنیتی رو اعمال کرده باشید و همه چیز در مورد سایت ok باشه
اما اگه میزبانی که ازش استفاده میکنید
با کیفیت نباشه
معتبر نباشه
با تجربه نباشه
خدماتش مناسب نباشه
سرورش درست پیکر بندی نشده باشه
از توزیع مناسب و بروز استفاده نکنه
از ماژول های مناس استفاده نکنه و اونا رو درست پیکر بند نکنه
کلا سایتتون همیشه با خطر هک شدن مواجه هست

راه حل یا انتخاب مناسب هاست

شرکت های مختلفی می تونن میزبان شما باشند اما این معیارها رو در نظر بگیرید
1- کیفیت پشتیبانی
2- امنیت سرور که خیلی خیلی مهم هست و در واقع شاید یکی از مهمترین گزینه های کیفیت و قیمت هاست هست
3- نوع توزیعی که شرکت برای میزبانی سرورش استفاده میکنه (شاید بگید چه  ربطی داره اما نوع توزیع لینوکس استفاده شده در تامین امنیت خیلی اهمیت  داره)
4- کشوری که دیتا سنتر در اون هست (اینم مهمه چرا که بعضی از دیتا سنتر ها  حیاط خلوت هکر ها تشریف داره و یکی از عوامل مهم تعیین قیمت سرور هست)
5- ماژول هایی که در سرور فعال هست برای وب سرور آپاچی (طبعا بعضی از شرکت  ها برخی ماژول های آپاچی رو بسته به نیاز کاربراشون البته اگه سرور اشتراکی  بگیرید فعال و غیر فعال میکنند و میدونید که فعال بودن بعضی ماژول ها و یا  پیکر بندی بعضی از اونا میتونه امنیت سرور رو با خطر جدی مواجه کنه)
6- سابقه میزبانی شرکت ارائه دهنده هاست و میزان اعتبار اون ( بعضی شرکت ها  واقعا کارشون عالیه و سابقه درخشانی دارن که البته قیمتاشونم یکم بالاست و  بعضیا هم .....
7- قابلیت بک اپ روزانه(البته بستگی به تعداد مطالب شما و عضو گیری شما در یک هفته داره)
برای  مثال چن وقت پیش یک نفر سایتش هک شد و بهد معلوم شد به خاطر هاستش بوده این هم به دلیل تبلیغ یک سایت که هاستش رو از هزار تومن شروع کرده بود به فروش گرفته بود بدون هیچ تحقیق و خیلی از سایت های معروف تا به حال هک شدن اون هم از طرف سرورشون یه سرچ بزنید می بینید.
خوب قسمت اول رو تمام کردم بقیش برای فردا شب اگر مورد بود پیام بزنید اسپم ندین و اینجا سوال نکنید که با خشم .. مواجه نشید.

----------


## jafar2012

hi
قسمت دوم استفاده از گذر واژه و نام کاربری مناسب هست
مشکلات که معمولا وب مسترها اعمال می کنند
از کلمات خیلی راحت یا قابل حدس استفاده می کنند مثلا(شماره موبایل،12345و(..
طول گذرواژه استفاده شده کم هست
استفاده نکردن از نام کاربری مناسب (و معمولا روی پیش فرض بودن در cms ها مثل (admin
تعویض نکردن دوره ای نام کاربری و کلمه عبور
استفاده از یک رمز برای چند سایت مختلف(و شاید هم گاها با کمی تغییر در رمز عبور)
استفاده نکردن از ترکیب حروف بزرگ و کوچک و اعداد و...
درج کردن رمز عبور در یک فایل
نوشتن یک الگوریتم بدون هیچ پایه و اساسی برای هش کردن(در صورتی که از CMS استفاده نکنیم)
طول عمر جلسه رو بالا بردن


راه حل


هش الگوریتم های متعددی داره یعنی با متد های مختلفی میتونید عبارات خودتونو فشرده و تبدیل کنیدکه معروف ترین اونا  md5 sha1 sha2 crc32هست
اما هنگامی که شما می یاد خودتون یه الگوریتم بوجود بیارید بدون هیچ پایه و اساس و منطق موثر ریاضی و کاربردی این الگوریتم خیلی راحت قابل رمز گشایی هست پس از الگوریتم ها استاندارد استفاده کنید

یکسری نرم افزار ها و سایت های انلاین وجود داره که میتونه پسورد های هش شده با طول کم را رمزگشایی بکنه البته تا 15 رقم رو بعضی ها مدعی شدن درنتیجه سعی کنید طول پسورد شما بیش از 15 کاراکتر باشه


(در مورد .net نمی دونم) اما در مورد بیشتر cmsها اولین کاربر ثبت شده مال admin هست و همچنین در لیست کاربران برای به ترتیب در اومدن لیست اعضا همراه با یک ایدی ثبت میشن که این مورد خطرناک هست اما
در صصورتی پس از تعریف چندین کاربران یک کاربران ادمین تعریف کنیم برای هکر راحت قابل تشخیص نیست کاربر ادمین کدوم یکی هست البته بعضی از افزونه های امنیتی این قابلیت رو دارن


پسوردها و شناسه کاربری مون رو به صورت دوره ای عوض کنیم چرا که اگر هکر نفوذ کنه و کد هش شده ما رو به دست بیاره بایستی برای رمزگشایی اون تلاش کنه که این زمان بر هست پس بهتره به صورت دوره ای مثلا دوهفته یکبار پسورد خودمون رو تعویض کنیم تا در صورت موفق بودن هکر در رمزگشایی عبارت هش شده کارش بدون فرجام بمونه


طول عمر جلسه رو تا میتونید یا نیاز نیست بالا نبرید چراکه هنگامی که شما خروج می کنید هنوز تا پایان عمر جلسه این پسورد وجود داره و میشه پسورد رو استخراج کرد)


استفاده از یک ترکیب مناسب که شامل موارد زیر هست
استفاده از حروف انگلیسی کوچک و بزرگ
استفاده از اعداد
استفاده ازعلایم ویژه که شامل ! @ و...
استفاده از اشکال( ترکیب کلید Alt با کلیدهای عددی قسمت number کیبورد هست (سمت راست کیبرد((
استفاده نکردن از کلمات رایج و راحت و قابل حدث


هرگز از رمز عبور یکسان برای سایت های مختلف استفاده نکنید در صورت هک شدن یکی نتیجه فاجعه آمیزی به بار میاد


در صورتی که رمز عبور رو در یک فایل ذخیره می کنید توصیه می کنم این کار رو نکنید چرا که اگر شخصی به فایل های شما دسترسی پیدا کنه یا داشته باشه ممکن پسورد شما رو پیدا کنه و...

----------


## jrasekhi

با سلام خدمت جعفر آقا،
ببینین من یک سوال و مشکل مهم دارم و نیاز به کمک و راهنمایی شما دارم. من و دوستام  یک شرکت فعال در سطح ایران داریم و چند سالی هست در زمینه های حفاظتی مثل دوربین مداربسته و گیت های فروشگاهی کار میکنیم. چند وقت پیش یک سایت مشاوره برای مشتریان و همکارانم راه اندازی کردیم و سرورش رو از "تندیس وب" گرفتیم. یه مدت زیادی سایت تحت حملات اسپمرها بود که ما روزانه پستاشون رو پاک می کردیم و نمیزاشتیم  همونجا بمونن. حتی از کد کاپچا هم برای ثبت نام استفاده کرده بودیم. 
با این وجود چند ماه بعد از شروع کار اسپم ها یه روز دیدیم وبسایت مشکل پیدا کرده و اپیلیکشن ارور داده. فکر کنم مربوط به آپاچی بود. در هر صورت بعد از پیگیری زیاد رفتیم سراغ هاست که تندیس وب بود، ولی در کمال تعجب گفتن که اصلا بک آپی از سایت ما ندارن!!! با پی گیری بیشتر و پرس و جو و مراجعه حضوری دستگیرمون شد که دفترشون به جای دیگه ای منتقل شده. حالا هرچه قدر بهشون پیام میدیم که آدرس جدیدتون کجاست جوابی نمیدن. ما چیکار باید بکنیم. کسی از آدرس این شرکت اطلاع داره؟ 
سوال بعدی اینه که حالا اگه بخواهیم یه هاست دیگه بگیریم که مشکل امنیت دیگه پیش نیاد، پیشنهاد شما چیه؟ لطفا راهنمایی کنین. 
با سپاس

----------


## jafar2012

hi
اساتید بایستی پاسخ بدن و بهتره شما یک عضویتی در سایت انجمن هاستینگ داشته باشید
برای مبارزه با اسپم ها که بستگی به ساختار برنامه نویسی شما داره یا سیستم مدیریت محتوا شما کاپچا یک راه حل هست و بهتره تعداد اعداد و حروف رو بیشتر کنید و از ترکیب هر دو استفاده کنید هم حروف و هم اعداد این هم یادمون باشه این حملات توسط ربات ها انجام میشه و این جور که تحقیق کردم این ها تونستن از ترکیبات ضعیف عبور کنند "مثل ایجاد رمز عبور میمونه که بالا نوشتم"
اگر سایت شما برای کشورهای مختلف نیست ای پی اون ها رو هم بلاک کنید که اگر سرور مجازی یا اختصاصی داشتید بهرین روش بلاک کردن اون ها در فایرل وال هست چون در هیت اکسس بلاک کردن ای پی فقط به روی پورت 80 اعمال میشه البته یادمون نره هربار روش های خاصی برای دور زدن بوجود میاد. یک نکته دیگه هم هست برای سئو سایت که نباید ای پیش بلاک بشه ویلا سایتتون اسکن نمیشه و رتبه سایت شما در جستوگر ها به شدت افت میکنه(این رو از سایر اساتید بپرسید ولی اینجور که شنیدم آی پی های آمریکا رو نباید بلاک کرد جهت سئو (شاید هم سرورهای دیگه ای در سایر کشورها رو نباید بلاک کرد اساتید بایستی پاسخ بدن))
این سوال رو شما بایستی در جای دیگه مطرح میکردید و اساتید بنده پاسخ میدادند.

یک مورد دیگه هم هست ای پی این اسپمر ها رو بدست بیارین و یلاک کنید.

----------

