نویسنده: تیم تحریریه ایران‌سرور

بازگردانی همزمان دیتابیس های یک دایرکتوری

کاور مقاله بازگردانی دیتابیس ها در دایرکتوریهای مختلف

یکی از چالش هایی که مدیران پایگاه داده بصورت مداوم با آن مواجه می باشند، پشتیبان گیری و بازگردانی دیتابیس ها می باشد. روش های مختلفی مانند نرم افزارهای جانبی، job نرم افزار sql و کوئری های مختلف برای اینکه پشتیبان گیری بصورت خودکار انجام شود وجود دارد، اما جهت بازگردانی دیتابیس ها اغلب بصورت تکی و با انجام چندین مرحله عملیات صورت می گیرد و در صورتیکه تعداد زیادی دیتابیس را بخواهید بازگردانی کنید، مجبور خواهید بود این مراحل را برای هر دیتابیس بصورت مجزا انجام دهید.

آسیب پذیری امنیتی و باگ نسخه جوملا ۳٫۷

کاور مقاله باگ امنیتی جوملا

باگ  SQL Injection  به شماره  CVE-2017-8917 در نسخه  جوملا ۳.۷  کشف شده است، مهاجم در صورت بهره برداری از این آسیب پذیری می تواند از راه دور سامانه قربانی را در اختیار گرفته و به اطلاعات مهم وب گاه دسترسی داشته باشند. این آسیب پذیری توسط یک جزء جدید، com_fields، که در نسخه ۳.۷ معرفی شد ایجاد شده است. این جزء آسیب پذیر در دسترس عموم است  و بدین صورت هر مهاجمی می تواند به آسانی  سایت شما را مورد سوءاستفاده قرار دهد. مهاجم با استفاده از یک آدرس مخرب می‌تواند از این آسیب‌پذیری استفاده کرده و دستورهای تزریق اس.کیو.ال را اجرا کند. بخش آسیب‌پذیری مدیریت محتوای جوملا در مسیر  administrator/components/com_fields/models/fields.php قرار دارد. توسعه‌دهندگان مدیریت محتوای جوملا به‌منظور رفع این آسیب‌پذیری، به‌روزرسانی جدیدی را به شماره ۳.۷.۱ ارائه کرده‌اند. اگر شما از این نسخه استفاده میکنید، سایت  شما را تحت تاثیر قرار داده و باید در اسرع وقت به نسخه جوملا ۳.۷.۱ به‌روز رسانی  کنید.

مقابله با حملات Poodle و آسیب پذیری SSLv3

مقابله با حملات Poodle و آسیب پذیری SSLv3

آسیب پذیری و ضعف پروتکل SSLv3 مدت های زیادی است که در بستر اینترنت وجود دارد، در حملات Poodle ، مهاجم می تواند با سوء استفاده از ضعف موجود در پروتکل SSLv3 به ترافیک رمزنشده ی کاربر دست رسی پیدا کند. برای این کار لازم است مهاجم در ابتدا ارتباط کاربر را به نحوی تغییر دهد که این ارتباط به صورت اجباری برای رمز نگاری از پروتکل قدیمی SSLv3 استفاده کند، این امر نیز با استفاده از این ویژگی که در صورت شکست یک ارتباط رمزنگاری، کارگزار یا سرویس گیرنده (در این جا مرورگر وب) سعی در ایجاد ارتباط با یک پروتکل قدیمی می کنند، انجام می گیرد.

آموزش پاکسازی جوملای هک شده

پاکسازی جوملا هک شده

در صورتی که سایت شما هک شده و یا دارای فایل هایی با محتوای مخرب است، جهت رفع مشکل باید آن را پاکسازی نمایید.

بهترین راه یافتن فایل هایی که از طریق نفوذ و هک به سایت اضافه شده است مقایسه یا بازگردانی با نسخه بک آپ سالم و پاکیزه، مربوط به قبل از نفوذ می باشد.

اگر نسخه پشتیبانی دارید (که مطمئن هستید آلوده نیست) می توانید شروع به مقایسه فایل ها کنید ویا آن را بازگردانی کنید.

اصلاحات امنیتی  نسخه جدید وردپرس جهت جلوگیری از حملات تزریق کد

طبق اعلام توسعه دهندگان وردپرس یک مشکل امنیتی در واسط برنامه نویسی  REST نسخه های ۴.۷ و ۴.۷.۱  وردپرس وجود دارد که موجب حملات تزریق کد میشود  و مهاجمان  بسته به پلاگین های سایت، می‌توانند کد php را از طریق این آسیب پذیری تزریق کنند، بهمین دلیل نیاز به بروزرسانی وردپرس به نسخه ۴.۷.۲ وجود دارد. Sucuri برای بخشی از پروژه تحقیقاتی آسیب پذیری فایروال WAF شرکت خود در حال بررسی مشکلات امنیتی چندین پروژه متن باز بودند و درحالیکه برروی وردپرس کار می کردند متوجه آسیب پذیری تزریق محتوا  که در واسط برنامه‌نویسی REST وجود داشت، شدند. این آسیب پذیری دسترسی  کاربران غیرمجاز برای تغییر محتوا یک پست یا صفحه سایت وردپرس را فراهم  می کند. این شرکت پس از کشف این موضوع، مشکل را به تیم امنیتی وردپرس اعلام نمود. در این فاصله بین افشای اصلی توسط Sucuri و ا فشای عمومی این مشکل، ارائه دهندگان هاست وردپرس و فایروال ازجمله Sucuri, SiteLock, CloudFlare و  Incapsula  از این موضوع مطلع بودند. آکامای(که شرکتی اینترنتی است و در زمینه شبکه تبدیل محتوا فعالیت می کند) هم مطلع شده بود و  اعلام کرد با نظارت ترافیک اینترنت برای تلاش های ممکن جهت بهره برداری از این آسیب پذیری تا تاریخ […]

امن سازی بانک اطلاعاتی MySql

ایمن سازی پایگاه داده MySQL

Mysql سرویس پایگاه داده بسیار معروف و پراستفاده از سرورهای لینوکسی و البته ویندوزی میباشد و با توجه گستردگی و پرکاربرد بودن این سرویس، امنیت آن نیز قابل توجه خواهد بود.‌ افزایش امنیت نرم افزارهای سرور قسمت مهمی از ساختار امنیتی یک سرور را تشکیل میدهد، در این مقاله سعی کردیم راهکارهای افزایش امنیت در سرویس Mysql سرور را بررسی کرده و از نفوذ و آسیب پذیری های متداول در این سرویس جلوگیری نماییم.

رفع آسیب پذیری احراز اصالت در MongoDB

mongo DB

MongoDB یک دیتابیس متن­ باز و رایگان و از نوع دیتابیس­ های NoSQLمی­ باشد. در این­گونه دیتابیس ­ها از ساختار سنتی دیتابیس­ های معمول که بر اساس جداول می­باشند، استفاده نمی­شود بلکه اطلاعات به شکل اسناد (documents) و به صورت یک زوج از رشته و مقدار (field & value) مانند JSONذخیره می­شوند.

آموزش مهاجرت جوملا ۲.۵ به ۳.x – بخش دوم

جوملا

بخش اول -امنیت در جوملا  بخش دوم -آموزش مهاجرت جوملا ۲.۵ به ۳.x – بخش دوم سیستم های مدیریت محتوا بدلیل مشکلات گزارش‌شده، آشکار شدن سوءاستفاده ها و باگ های شناخته شده بصورت مداوم بروزرسانی می‌دهند، در صورتیکه که بروزرسانی ها نصب نشده باشد احتمال نفوذ به سایت شما توسط هکرها بیشتر می شود، بنابراین با اعمال آخرین بروزرسانی ها، از اطلاعتتان حفاظت کنید و همیشه توجه داشته باشید آخرین نسخه سیستم مدیریت محتوایی که ارائه می شود بر روی سایت شما فعال باشد. در بخش قبلی در مورد امنیت جوملا و اقدامات لازم پس از هک شدن سایت پرداختیم، اما در صورتیکه سایت شما هک شده باشد، شاید قادر باشید که قسمت هایی که هکر نفوذ کرده است را پاکسازی کنید اما اطمینان از اینکه کلیه قسمت ها پاکسازی شده و دیگر اثری از تغییرات هکر وجود ندارد بسیار دشوار است و همچنین در صورتیکه از نسخه های قدیمی‌تر استفاده می کنید، باید خیلی خوش‌شانس باشید که سایت شما با مشکلی مواجه نشده و یا بصورت کامل هک نشده است، بهمین دلیل در این بخش نحوه مهاجرت جوملا  ۲.۵ به ۳.x را شرح می دهیم تا با این اقدامات از  نفوذ هکر به سایت جلوگیری کنیم. – از اطلاعات […]

انتقال امن اطلاعات با Filezilla

انتقال امن اطلاعات با Filezilla

دو روش رایج و ایمن جهت انتقال اطلاعات بین دو کامپیوتر SSH  و TLS  هستند که هر دو پروتکل استانداردی برای مباله رمز شده اطلاعات است، هدف آن ها انتقال امن داده ها و تامین امنیت در سراسر شبکه بخصوص اینترنت می باشد. فن‌آوری استفاده‌شده در هر دو پروتکل بسیار مطمئن است و در صورتیکه بدرستی پیکر‌بندی شده باشند، تقریبا نفوذ هکر‌ها غیرممکن می شود و درحالیکه خدمات مشابه ای ارائه می دهند، تفاوت های قابل توجهی با هم نیز دارند که فراتر از مبحث این مقاله است. امروزه سرویس ssh(open ssh) در سیستم عامل های unix  مثل Mac OS  و لینوکس بصورت پیش فرض فعال می باشد. بنابرین، برنامه ها یا زیرسیستم هایی که مبتنی بر پروتکل SSH هستند، بدون نیاز به مراحل مازادی مانند خرید یا ایجاد گواهینامه SSL مورد نیاز برای حالت های خاصی از انتقال امن داده ها از طریقTLS/SSL، کار خواهند کرد. جهت آپلود و دانلود اطلاعات بین دو سیستم، بطور کلی ۴ گزینه زیر قابل انتخاب می باشند: ۱- FTP پروتکل انتقال فایل ۲- SCP برنامه کپی امن ۳- SFTP  پروتکل امن انتقال فایل ۴- FTPS  پروتکل انتقال فایل بر روی TLS/SSL بیشتر بخوانید:  ساخت اکانت ftp در دایرکت ادمین با آموزش ویدئویی Ftp […]

اجبار اتصال https برای ios

استفاده از https در کلیه اپلیکیشن‌های Apple تا پایان سال میلادی اجباری خواهد شد و توسعه‌دهندگان این اپلیکیشن‌ها تا پایان سال لازم است تغییرات لازم را اعمال کنند .

طی یک سخنرانی در کنفرانس امنیتی در سراسر جهان توسعه دهندگان اپل اعلام کردند که آخرین مهلت را اول ژانویه ۲۰۱۷ تعیین نمودند تا برنامه‌های کاربردی در فروشگاه اپلیکیشنapp store این ویژگی مهم را که ‫امنیت انتقال داده در برنامه ( App Transport Security)یا ATS نامیده می شود فعال کنند.

امنیت و امن سازی وردپرس

باج افزارهای رمزگذاری کننده چه هستند؟

مهم ترین قدم در امن کردن وردپرس جلوگیری از راه های نفوذ رایجی می باشد که معمولاً نادیده گرفته میشود.در صورتی که شما مدیر وب سایت وردپرسی هستید حتما باید اقدامات پیشگیرانه‌ی ساده ای که به امنیت وردپرس شما بسیار کمک میکند را انجام دهید. در این مقاله شما با روش های مقاوم کردن وردپرس دربرابر نفوذهای رایج آشنا خواهید شد.

چگونه حفره های امنیتی در یک سایت وردپرسی هک شده را پیدا کنیم؟

چگونه حفره های امنیتی در یک سایت وردپرسی هک شده را پیدا کنیم؟

‫کاربران و مدیران زمان زیادی را صرف رفع مشکل نفوذ و هک شدن سایت های وردپرسی میکنند. در بسیاری از موارد در زمانی که ما در حال پاکسازی سایت وردپرسی هستیم، هکر ها همچنان قادر به نفوذ به سایت ما هستند. در این مقاله ما سعی داریم تا روش های پیدا کردن Backdoor ها و جلوگیری و رفع آن را آموزش دهیم.

باج افزارهای رمزگذاری کننده چه هستند؟

باج افزارهای رمزگذاری کننده چه هستند؟

باج افزار ها نوعی از برنامه های مخرب هستند که از پیغام های فریبنده (مانند برنده شدن در قرعه کشی) و هشدار دهنده (مانند هشدار پر شدن ایمیل) برای اخاذی کردن استفاده می کنند. عملکرد مخرب باج افزارها و پیغام های آن ها عموما در کامپیوتر و موبایل کاربر، به عنوان مثال با قفل کردن و عدم اجازه استفاده معمولی از دستگاه، اتفاق می افتد و کاربر را تحت فشار قرار داده و اخاذی صورت می گیرد.

جدیدترین باگ امنیتی در Joomla

جدیدترین باگ امنیتی در جوملا

۳ روز قبل تیم جوملا بسته ای (patch) را برای مقابله با یک آسیب پذیری امنیتی سطح بالا (به نام های CVE-2016-8870 و CVE-2016-8869) منتشر نمود. با استفاده از این آسیب پذیری یک کاربر عادی می تواند پس از ایجاد یک اکانت، دسترسی خود را در سایت افزایش دهد. از اینرو یک فرد مهاجم می تواند با افزایش سطح دسترسی خود، فایل های backdoor را بر روی سرور آپلود نموده و کنترل کامل سایت را به دست بگیرد.

آسیب پذیری Dirty COW در سرور های CentOS

رتاریخ ۲۰۱۶/۱۹/۱۰ آسیب پذیری امنیتی در هسته (kernel) سیستم عامی لینوکس با نام اختصاری dirty COW منتشر شد. این باگ به دلیل وجود مشکل در هنگام مدیریت عملیات copy-on-write توسط هسته COW نام گزاری شده است. در واقع این باگ از سال ۲۰۰۷‌ و در هسته های ورژن ۲.۶.۲۲ و بالاتر وجود داشته است. خوشبختانه اکثر توزیع های لینوکس بسته های امنیتی جدیدی در آخرین آپدیت های خود برای رفع این باگ ارائه داده اند.

چگونه یک سایت هک شده را پاک سازی کنیم؟

چگونه یک سایت هک شده را پاک سازی کنیم؟

طبق آمار اعلامی سایت Sucuri، در نیمه اول سال ۲۰۱۶، ۷۸ درصد سایت های هک شده از مدیریت محتوی cms استفاده کرده اند.با استفاده از پلاگین Sucuri WordPress Security می توانید سایت وردپرس هک شده را پاک سازی و malware مورد نظر را حذف کنید.

نکات امنیتی در ESXI

نکات امنیتی esxi

امنیت در  VMware ESXi مجازی‌ سازی عبارت است از راهکاری که اجازه می دهد چندین ماشین مجازی بطور همزمان بر روی یک سرور سخت افزاری به اجرا در آیند. اشتراک منابع سخت افزاری موجود بر روی یک سرور فیزیکی بین چندین سرورمجازی یکی از فناوری های مورد توجه کارشناسان در چند سال اخیر بوده و سرمایه گذاری های اقتصادی و تحقیقاتی زیادی از سوی شرکت های بزرگ روی آن صورت گرفته است. VMware یکی از مشهورترین شرکت هایی است که در زمینه مجازی سازی به طور گسترده فعالیت دارد و مشهورترین محصول آن در این زمینه VMware ESXi می باشد. اما مانند تمام محصولات نرم افزاری و سیستم عامل ها، زمانیکه ESXi با تنظیمات پیش فرض نصب می شود بسیاری از موارد امنیتی در نظر گرفته نمی شوند. در ادامه چندین تکنیک کارامد برای افزایش امنیت ESXi و ماشین های مجازی ارائه شده است که می توان با رعایت این موارد امنیت بستر مجازی را به طور چشگمیری افزایش داد. توجه: برای اعمال برخی از تکنیک های ذکر شده نیاز است برخی از پارامترهای کنترلی در ماشین مجازی تغییر داده شده و یا پارامتر جدیدی اضافه شود. تغییر و یا حذف پارامترها به دو صورت قابل انجام می باشد: –  اعمال […]

فعال سازی VNC در ماشین های مجازی ESXI) Vmware)

فعال کردن vnc

VNC یک پلتفرم مستقل و سازگار به انواع سیستم عامل ها می باشد که عملیاتی مشابه Remote Desktop ویندوز که امکان اتصال از راه دور به سیستم مورد نظر را پیاده سازی میکند با این تفاوت که در سیستم عامل های مختلف قابل استفاده خواهد بود. این نرم افزار دارای قابلیت گرافیکی GUI برای اجرا در سیستم عامل با استفاده از Java می باشد. چند کاربر می توانند بطور همزمان به یک کانکشن VNC متصل شوند. برای اتصال به VNC باید به اینترنت متصل باشید و سپس با وارد کردن اطلاعات VNC سرور مقصد در نرم افزار VNC به سرور متصل شوید. قابلیت VNC باید از قبل بروی سرور فعال شده باشد. از این قابلیت بیشتر برای اتصال به سرورهای مجازی استفاده میشود.

دستور انتقال فایل در لینوکس | راهنمای کامل برای کاربران مبتدی و حرفه‌ای

دستورات انتقال فایل در لینوکس

چگونه فایل های تحت سیستم عامل های لینوکس را کپی کنیم؟ چگونه می توانم کپی فایل ها و دایرکتوری در لینوکس منتقل کنم؟ برای کپی کردن یک فایل ها و پوشه ها از یک مکان به مکان دیگر، در این مقاله با دستور انتقال فایل در لینوکس آشنا می شویم که فرایند copy، move، انتقال اطلاعات بین سرور ها با قابلیت Resume را در لینوکس پیاده سازی خواهد کرد.

راهنمای استفاده از ترلو (بخش سوم، ابزارهای مدیریت پروژه)

پیش از این -در اینجا– درباره ترلو و روش عضویت در آن صحبت کردیم. در ادامه از روش استفاده ترلو صحبت خواهیم کرد. در اولین ورود به ترلو، یک Organization (ارگانیزیشن) و Board (برد)‌ پیش‌فرض در فضای کاربری خود مشاهده می‌کنید که توسط ترلو ایجاد شده‌است. همچنین لینک‌هایی برای ایجاد برد و ارگانیزیشن جدید وجود دارد. ایجاد یک Organization در ترلو: ارگانیزیشن برای سازمان‌دهی پروژه‌ها طراحی شده‌است و می‌تواند شامل یک یا چند برد باشد؛ به‌عنوان مثال می‌توان برای هر سازمان یا پروژه یک ارگانیزیشن جدا تعریف و برای هر بخش از آن یک برد. برای شروع پیشنهاد ما ساخت یک ارگانیزیشن می‌باشد، برای این منظور کافی است بر روی لینک «Create a new organization» کلیک نمایید تا پنجره‌ای مشابه تصویر زیر باز گردد.   در این پنجره کافی است نام ارگانیزیشن را وارد و بر روی کلید «Create» کلیک نمایید. درصورت تمایل می‌توانید توضیحاتی در باره ارگانیزیشن نیز در بخش «Description» اضافه نمایید. پس از ایجاد به صفحه مشابه تصویر زیر هدایت خواهید شد.   در این صفحه امکانات مدیریتی ارگانیزیشن در اختیار شما قرار دارد، مانند مشاهده بردهای آن در صورت وجود و تغییر نام و توضیحات ارگانیزیشن. همچنین در تب‌های «Settings» و «Members» می‌توانید تنظیمات بیشتری به […]