دلیل هک شدن سایت

  • نویسنده موضوع نویسنده موضوع bahram
  • تاریخ شروع تاریخ شروع

bahram

Administrator
سلام خدمت تمام کاربران محترم طلاهاست
در این تاپیک قصد دارم در مورد دلایل هک شدن سایت ها توضیح بدم.
سرفصل مطالب را تا جایی که حضور ذهن دارم می نویسم بعداً اگر چیزی جا افتاده بود اضافه می کنم.
  • هک شدن از طریق رمز
  • هک شدن از طریق مهندسی اجتماعی
  • هک شدن سایت از طریق مشکلات نرم افزاری سایت
  • هک شدن سایت از طریق مشکلات سیستم عامل و برنامه های جانبی
  • هک شدن سایت از طریق سرور

امروز سعی می کنم مبحث را شروع کنم. اگر سوالی دارید در مورد موارد بالا، لطفا منتظر بمانید تا مطالب کامل بشه بعد اگر سوالی دارید بپرسید
اگر سوال شما غیر مرتبط با سرفصل های بالا هست خوشحال می شم بپرسید، همچنین چیزی را جا انداختم یادآوری کنید.

با تشکر
 
سلام
این مبحث که می خوام توضیح بدم شاید مقدماتی باشه ولی متاسفانه خیلی کاربران سهل انگاری می کنند

هک شدن از طریق رمز
دلایل هک شدن از طریق رمز زیاد هستند. شاید عمده ترین دلیل استفاده از رمز های ساده باشد. برای مثال خیلی افراد از عبارات زیر برای رمز خود استفاده می کنند:
password
123456
111111
123123
و رمز های ساده و پرکاربرد دیگر که حدس زدن آنها ساده است.
معمولا هکرها برای نفوذ از طریق رمز، ابتدا رمز های پرکاربرد (مانند رمزهای بالا) را تست می کنند.
توجه: امکان استفاده از رمز های ساده در سرویس های میزبانی طلاهاست وجود ندارد

راه حل: انتخاب رمز مناسب!
روش انتخاب رمز مناسب:
رمز عبور بهتر است طولانی باشد، هر چه رمز کوتاهتر باشد پیدا کردن آن راحت تر است، حتی 1 کاراکتر اضافه ممکن است کار نفوذگر را چند سال به تاخیر اندازد! (بله درست خوندید چند سال!)
رمز عبور بهتر است ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترهای ویژه باشد. برای مثال b5$8Hw@675
رمز عبور با نام کاربری یکی نباشد!
اگر استفاده از رمز هایی مانند b5$8Hw@675 برای شما مشکل است، راه حل دیگری برای شما دارم. استفاده از جملات فارسی! برای این کار یک جمله را در نظر بگیرید (مثلا کلمه "طلاهاست") این کلمه را با صفحه کلید لاتین می نویسیم : xghihsj یا کمی پیچیده تر : جمله "انجمن طلاهاست" که می شود: hk[lk xghihsj و به همین ترتیب... (عباراتی ظاهراً بی مفهوم ولی به یاد ماندنی)

در مرحله بعد نفوذگر از دیکشنری استفاده می کند
Dictionary چیست؟
dictionary در این مبحث به معنی یک لیست از رمز هایی است که از قبل آماده شده و در یک فایل متنی قرار دارد. برای مثال نام افراد مشهور، شماره های پرکاربرد و ...
از دیکشنری برای انجام عمل Brute Force استفاده می شود.

Brute Force چیست؟
وقتی نفوذگر برای نفوذ به یک سیستم از دیکشنری استفاده می کند، در هر لحظه تعداد زیادی رمز را روی هدف مورد نظر تست می کند تا شاید به نتیجه دلخواه (یافتن رمز صحیح) دست پیدا کند. به این عمل Brute Force می گویند.
توجه : امکان انجام عمل Brute Force در سرویس های میزبانی طلاهاست وجود ندارد

راه حل جلوگیری از Brute Force:
شما در هاست امکان جلوگیری از brute force را ندارید، یعنی این مورد کاملاً به تنظیمات شرکت هاستینگ بر می گردد. نگران نباشید طلاهاست جلوی Brute Force را گرفته است.

ویروس ها و keylogger ها:
کی لاگر (key logger) چیست؟
یک بد افزار است که معمولا برای جاسوسی توسط برنامه نویس های مبتدی و کنجکاو نوشته و پخش می شه. کاری که کی لاگر انجام می ده اینه که تمام دکمه های فشرده شده کی بورد شما را ثبت و ضبط می کند. این برنامه دکمه های فشرده شده، عنوان پنجره ها، (حتی رمز هایی که برای شما بصورت ستاره یا دایره نمایش داده می شوند) را ذخیره و برای طراح خود ارسال می کند.
به همین دلیل هست که در سیستم های اشتراکی (مانند کافی نت) نباید رمز خود را وارد کنید چون احتمال ذخیره شدن رمز بسیار زیاد است!
بهترین کار برای رهایی از دست کی لاگر، استفاده از آنتی ویروس های قوی و به روز هست.


نکات تکمیلی:
حتی اگر برای هاست از رمز مطمئن استفاده کنید باز هم امکان هک شدن سایت از طریق رمز وجود دارد.
بله از طریق ایمیل!
اگر شخصی به ایمیل شما دسترسی داشته باشد می تواند به راحتی رمز هاست شما را Reset کند. پس نکات بالا را برای رمز ایمیل هم رعایت کنید

منبع : talahost.com

اگر نظر، پیشنهاد یا سوالی در مورد این مطلب دارید در خدمتم
 
آخرین ویرایش:
سلام
اینجا یک انجمن تخصصی است و نه یک سریال دنباله دار و یا روزنامه با شماره های متوالی بنابراین هر کاربر بر حسب نیازش به صفحات این انجمن سر می زند و تعداد کاربرانی که تمایل دارند مرتب به این انجمن سر بزنند کم هست.یکی از دلایلش جدید بودن این انجمنه.بنابراین من پیشنهاد می کنم مطالب خودتون را در یک مبحث کلی بگنجانید و یا در دو یا سه مبحث دنباله دار نه اینکه صبر کنید تا شماره جدید از زیر چاپ در بیاد(تا قسمت بعدی صبر کنید)چون در این صورت کسی تمایل نداره مرتب به ادامه همان مطلب قبلی در بازه ی زمانی طولانی مراجعه کند.
با تشکر

سلام
این مطالب کپی نیستند و باید تایپ کنم، قرار نیست مطلب بعد از چند روز حذف بشه می تونه بعنوان یک ریفرنس برای بازدید کنندگان و کاربران دیگر در آینده باشد
 
مهندسی اجتماعی
مهندسی اجتماعی (social engineering) یکی از روش های موثر در هک کردن است و اطلاعات درصد زیادی از کاربران با این روش مورد حجوم قرار می گیرد.
مهندسی اجتماعی در واقع به معنای فریب دادن افراد برای جلب اعتماد هست

چند نمونه از هک کردن افراد از طریق مهندسی اجتماعی:
طراحی صفجه های فیشینگ شبیه سایت های یاهو یا جیمیل برای جمع آوری ایمیل و رمز کاربران
طراحی صفحات پرداخت آنلاین بانک ها و سوء استفاده از اطلاعات حساب کاربران
و ...
چند وقت پیش شخصی صفحه پرداخت انلاین بانک پاسارگاد را شبیه سازی کرده بود. یک دامنه .com با آدرس bank-pasaargad.com ثبت کرده بود (تا جایی که خاطرم هست دامنه همین بود) و حتی ssl معتبر هم برای سایت نصب کرده بود که به طرز عجیبی اعتماد افراد را جلب می کرد. دامنه صفحه پرداخت بانک پاسارگاد bank-pasargad.com است
پس به سایت ها حتی با ظاهر کاملاً مشابه نباید اعتماد کرد
حتماً آدرس سایتی که اطلاعات مهم و شخصی خود را در آن وارد می کنید را با دقت بررسی کنید


یک مثال ساده ولی خطرناک ممکن است بصورت زیر باشد :
شما از طرف طلاهاست یک ایمیل دریافت می کنید با این مضمون که طلاهاست نیاز به رمز هاست شما دارد. لطفا رمز را ارسال کنید.
این ایمیل به احتمال بسیار زیاد قلابی و جهت سوء استفاده از اعتماد شماست.
شاید جالب باشد بدانید با هر آدرسی می توان ایمیل ارسال کرد. برای مثال شما می توانید از طریق آدرس ایمیل info@google.com برای دیگران ایمیل ارسال کنید و شخص دریافت کننده ایمیل بدون اینکه اطلاعی از موضوع داشته باشد، پاسخ را به ایمیل شما ارسال می کند!
در این موارد خیلی دقت کنید و اگر ایمیل حساسی از طرف طلاهاست دریافت کردید حتما پاسخ را در سایت طلاهاست و از طریق تیکت ارسال کنید (به ایمیل پاسخ ندهید).
پس به ایمیل نمی توان اعتماد کرد

مورد دیگری را برای شما مثال می زنم. شخصی با ما تماس گرفت و درخواست رمز یکی از سایت ها را داشت و پیشنهاد رشوه داد! وقتی دید در این کار موفق نیست و نمی تواند اطلاعاتی بدست آورد، دست به کارهای مختلفی زد. چند روز بعد یک sms دریافت کردم با متنی مشابه متن زیر:
سلام
من صاحب سایت ... هستم لطفا نام کاربری و رمز را به ایمیل .... ارسال کنید
وقتی شماره ارسال کننده sms را با شماره صاحب اصلی سایت مقایسه کردم، هر دو شماره یکی بودند.
با صاحب سایت تماس گرفتم و متوجه شدم که از موضوع اطلاعی ندارد و ایشان هیچ درخواستی برای دریافت رمز ندارند.
پس به sms (پیام کوتاه) نباید اعتماد کرد


مثال دیگری در مورد مهندسی اجتماعی:
فرض کنید شخصی قصد دارد شماره تلفن شما را بدست آورد. شما در حال چت کردن با ایشان هستید که شخص مقابل پیشنهاد اینترنت رایگان به شما می دهد:
_ سلام، ما شرکت ISP داریم و اینترنت رایگان ارائه می کنیم!
_ سلام، جدی؟! چقدر خوب!
_ آره جدی می گم. می خوای تست کنی؟
_بله پیشنهاد خوبیه!
_ با این یوزر و رمز می تونی بصورت رایگان وصل بشی. یوزر : test رمز : test شماره اتصال به شبکه : 22234567
شما سریعاً با یوزر و رمز سعی در اتصال به شبکه دارید غافل از اینکه تلفن اتصال به شبکه همان تلفن منزل شخص مقابل است و زمان اتصال caller id شما را خواهد دید. (البته الان کمتر اینترنت dial up رایج هست)


مهندسی اجتماعی روش بسیار موثر برای نفوذ است، همیشه به این مورد مهم توجه داشته باشید و به هر کسی در اینترنت اعتماد نکنید. طرز حرف زدن بعضی افراد بسیار معصومانه و فریب دهنده است و چهره واقعی و باطنی آنها پشت تلفن یا در چت معلوم نمی شود.


منبع : talahost.com
 
درود دوستان
این هم چیز هایی که تو این مدت کسب کردم
اول از اینکه روی کانفیک خودتون پسورد بزارید .
دوم اینکه روی ادمین سایتتون پسورد بزارید یعنی به جز اون یه پسورد یوزری باشه .
این راه ها از هک کردن سایت جلوگیری میکنه
 
اگه داخل سایت از درگاه پرداخت الکترونیک استفاده بشه، امکان هک شدن سایت هست؟؟؟
 
عقب
بالا