دسته: آموزش

در بخش آموزش سایت ایران‌سرور می‌توانید به مجموعه‌ای از مقالات تخصصی و کاربردی در زمینه‌هایی مانند هاست، سرور مجازی (VPS)، امنیت، لینوکس، وردپرس و سایر موضوعات مرتبط با زیرساخت‌های آنلاین دسترسی پیدا کنید. این مطالب با زبانی ساده و در عین حال حرفه‌ای نوشته شده‌اند تا برای همه کاربران، از مبتدی تا پیشرفته، مفید باشند و به آن‌ها کمک کنند دانش فنی خود را به‌روز کرده و در انتخاب و مدیریت خدمات میزبانی بهتر عمل کنند.

امن سازی و امنیت در اپن کارت (open cart)

از دیدگاه هکر ها، ایجاد کردن راه هایی برای حفظ دسترسی به وب سایت های در معرض خطر، بسیار مطلوب است. ما این راه ها را Backdoor می نامیم. Backdoor ها می توانند به روش های مختلف، یا توسط اضافه کردن مدیران جعلی به سایت و یا افزودن قطعه کدهای مخرب جهت اجرای راه دور توسط مهاجمان ، ایجاد شوند. این کار به آنها اجازه می دهد تا در صورت نیاز به راحتی به سایت دسترسی داشته باشند. در این مقاله مشخصات فنی یک Backdoor را که به یک سایت OpenCart آسیب دیده اضافه شده است، و به مهاجمان بدون داشتن اعتبار مدیریتی اجازه ورود به سایت را می دهد، شرح خواهیم داد. دسترسی توسط Backdoor موجود در فرآیند ورود OpenCart از فایل system / library / user.php برای مدیریت فرآیند ورود استفاده می کنددر اوپن کارت هم همانند سایر روش های تأیید هویت CMS، اگر کاربری نتواند به سایت وارد شود، یا کلا وجود ندارد، یا اعتبار آن نادرست است یا مجوز دسترسی به سایت را ندارد، در این گونه موارد یک پیام خطا به روشنی بیان می کند که ورود موفقیت آمیز نبوده است. در این مورد، مهاجمان فایل را به گونه ای تغییر می دهند که […]

نکایت و اصول اولیه امینت دیتابیس و پایگاه داده

برای اینکه مطمئن شوید از اصول اولیه برای سیستم های امنیتی پایگاه داده پیروی می کنید از چک لیست زیر استفاده کنید. تزریق به پایگاه داده یا دیتابیس (SQL Injection) و سرریز بافر (buffer overflows) از نقاط آسیب پذیر پایگاه داده هستند که بیش از یک دهه مورد سوء استفاده قرار گرفته اند … سیستم های پایگاه داده حتی با وجود بسته ها و راه حل های امنیتی، همچنان در خطر حملات هستند. هکرها راه خود را از طریق استفاده از نام های کاربری و کلمات عبور اکانت پیش فرض، باز می کنند، در عین حال، مدیران پایگاه داده و متخصصین IT از هزینه های تامین امنیت اکانت های کاربری شکایت دارند. و در نهایت، با شکایت هایی که به خاطر نقص داده ها دریافت خواهیم کرد، متوجه می شویم که داده های رمزگذاری نشده از بین رفته اند یا اطلاعات حساس به طور منظم به سیستم های ناایمن منتقل می شوند. بدیهی است که هنوز مراحل اولیه ی ایجاد امنیت، سیستم های پایگاه داده را انجام نداده ایم. بنابراین، فنون رمزگذاری پیشرفته، ارتباط وقایع و تجزیه و تحلیل قانونی را فراموش کنید. به جای آن ، سازمان ها به خصوص در موقعیت اقتصادی دشوار کنونی، به یک راهکار برنامه ریزی شده […]

بهینه سازی دوره‌ای هارد SSD در سرور لینوکس

به علت معماری هارد های SSD یا درایو های حالت جامد ، در صورت استفاده مداوم از قبل پیش بینی نشده از این هارد ها، آنها دچار کاهش کارایی خواهند شد. دستور TRIM یک فرمان است که سیستم عامل را از بلاک های آزاد هارد SSD که هم اکنون در حال استفاده نیستند، مطلع می کند. این دستور به سیستم داخلی هارد های SSD جهت مدیریت بهتر سطح پوشش دهی کمک می کند و آن را برای عملیات نوشتن بعدی آماده می کند. دستور TRIM در طول زمان تاثیر شگرفی در کارایی کلی هارد و افزایش طول عمر آن دارد. باوجود اینکه امکان فعال سازی مداوم دستور TRIM در لینوکس وجود دارد اما در واقع به دلیل سربار اضافه ای که در علملیات فایل ایجاد می کند، تاثیر منفی در کارایی هارد خواهد داشت. در واقع جایگزین مناسبتر آن، پیکربندی دوره ای TRIM است.

چرا باید از HTTP به HTTPS کوچ کنیم

اغلب وب سایت ها از پروتکل آشنای HTTP استفاده می کنند. آن دسته از وب سایت هایی که گواهینامه ی SSL/TSL را تهیه و نصب کرده اند می توانند به جای HTTP از HTTPS استفاده کنند. SSL/TSL یک پروتکل پنهانیست که برای رمزگذاری داده ها هنگامی که در بستر اینترنت بین کامپیوتر ها و سرور ها در سفر هستند استفاده می شود. این سفر کردن داده ها شامل دانلود ها، آپلود ها، فرم های ارسال اطلاعات در صفحات وب و مشاهده محتوای یک وب سایت می شود.

هاست ابری چیست؟ چه مزایایی دارد؟

هاست ابری چیست؟ یکی از نتایج جالب پیشرفت تکنولوژی این است که سایت شما می‌تواند در میان ابرها میزبانی شود! تعجب کردید؟ الان چند سالی هست که بحث Cloud یا همان ابرها، در دنیای تکنولوژی داغ شده است و همۀ پیش‌بینی‌ها می‌گویند که آیندۀ ما، به ابرها، محاسبات ابری، ذخیره سازی ابری و … گره خورده است! ما در این مقاله می‌خواهیم راجع‌به کلود هاستینگ یا همان میزبانی ابری با شما صحبت کنیم؛ اما اگر می‌خواهید درک بهتری از مفاهیمی که مطرح می‌کنیم داشته باشید، پیشنهاد می‌کنم که مقاله رایانش ابری یا کلود کامپیوتینگ چیست؟ مقاله آشنایی با فضای ذخیره سازی ابری را در وبلاگ ایران سرور، مروری بکنید خب، حالا اگر موافق باشید برویم سر اصل مطلب و ببینیم که هاست ابری چیست، چگونه کار می‌کند و به درد چه کسانی می‌خورد. هاست ابری (Cloud Hosting) چیست؟ در هاست ابری اگر یک سرور از کار بیفتد، سرورهای دیگر جایگزین آن می‌شوند تا وب‌سایت همیشه آنلاین بماند و اطلاعات آن در دسترس مخاطبان باشند. برای درک بیشتر این سرویس میزبانی، کافی است ابر را به‌عنوان شبکه‌ای از رایانه‌های مختلف که به‌هم‌پیوسته‌اند تجسم کنید. اگر رایانه‌های دیگری به این بستر متصل شوند، منبع ابر افزایش پیدا می‌کند و بهتر می‌تواند میزبانی […]

نصب ذخیره فایل ابری OWNCloud در Ubuntu 16.04 – بخش دوم

ownCloud این توانمندی را دارد که با قابلیت های خدمات ذخیره سازی ابری شخص ثالث مشهور سازگار گردد. این قلبلیت بسیار اساسی و مهم است و بطوریکه بدون آن امکان به اشتراک گذاری فایل بین کابران مختلف وجود نداشت. بنابراین محتوایی که در ownCloud قرار می گیرد می تواند بین کاربران مختلف و حتی با URL های عمومی به اشتراک گذاشته شود. مزیت ownCloud این است که اطلاعات در آن به صورت کاملا امن و در جایی که در کاملا تحت کنترل شماست ذخیره می شوند.

نصب ذخیره فایل ابری OWNCloud در Ubuntu 16.04 – بخش اول

ownCloud یک سرور اشتراک گذاری فایل است که به شما اجازه می دهد، محتوای شخصی خود، مثل اسناد و تصاویر را در یک مکان متمرکز ، بسیار شبیه Dropbox ذخیره کنید. تفاوت مهم ownCloud رایگان و متن باز بودن آن است. با این ویژگی ها به هر کسی اجازه را می دهد تا آن را مورد آزمایش و استفاده قرار دهد. همچنین ownCloud امنیت و کنترل اطلاعات حساس شما را فراهم می کند، بنابراین استفاده از خدمات هاست ابری شخص ثالث حذف می شود.

آموزش مهاجرت جوملا ۲.۵ به ۳.x – بخش دوم

بخش اول -امنیت در جوملا بخش دوم -آموزش مهاجرت جوملا ۲.۵ به ۳.x – بخش دوم سیستم های مدیریت محتوا بدلیل مشکلات گزارش‌شده، آشکار شدن سوءاستفاده ها و باگ های شناخته شده بصورت مداوم بروزرسانی می‌دهند، در صورتیکه که بروزرسانی ها نصب نشده باشد احتمال نفوذ به سایت شما توسط هکرها بیشتر می شود، بنابراین با اعمال آخرین بروزرسانی ها، از اطلاعتتان حفاظت کنید و همیشه توجه داشته باشید آخرین نسخه سیستم مدیریت محتوایی که ارائه می شود بر روی سایت شما فعال باشد. در بخش قبلی در مورد امنیت جوملا و اقدامات لازم پس از هک شدن سایت پرداختیم، اما در صورتیکه سایت شما هک شده باشد، شاید قادر باشید که قسمت هایی که هکر نفوذ کرده است را پاکسازی کنید اما اطمینان از اینکه کلیه قسمت ها پاکسازی شده و دیگر اثری از تغییرات هکر وجود ندارد بسیار دشوار است و همچنین در صورتیکه از نسخه های قدیمی‌تر استفاده می کنید، باید خیلی خوش‌شانس باشید که سایت شما با مشکلی مواجه نشده و یا بصورت کامل هک نشده است، بهمین دلیل در این بخش نحوه مهاجرت جوملا ۲.۵ به ۳.x را شرح می دهیم تا با این اقدامات از نفوذ هکر به سایت جلوگیری کنیم. – از اطلاعات […]

راهنمای تغییر پسورد VPSهای لینوکس در Proxmox

اگر نیاز به آموزش تغییر پسورد لینوکس وی پی اس در Proxmox دارید، باید این مقاله را مطالعه کنید؛ زیرا در این مطلب به صورت گام به گام و ساده نحوه انجام این کار را برای شما بیان کردیم. صورت گام به گام و ساده نحوه انجام این کار را برای شما بیان کردیم. آموزش تغییر پسورد لینوکس وی پی اس در Proxmos قدم اول: پیداکردن درایور سرور مجازی به سرور اصلی پروکس‌موکس ssh کنید. با دستور lvdisplay و vgdisplay به‌صورت زیر، درایوی که سرورمجازی روی آن است را پیدا کنید. vgdisplay — Volume group — VG Name vg0 System ID Format lvm2 Metadata Areas 1 Metadata Sequence No 14 VG Access read/write VG Status resizable MAX LV 0 Cur LV 2 Open LV 1 Max PV 0 Cur PV 1 Act PV 1 VG Size 698.01 GiB PE Size 4.00 MiB Total PE 178690 Alloc PE / Size 120320 / 470.00 GiB Free PE / Size 58370 / 228.01 GiB VG UUID UrjwY7-1yQC-eJpi-E27i-Pw69-pW7R-pxILVX</li> </ol> root@Server ~ # lvdisplay — Logical volume — LV Path /dev/vg0/root LV Name root VG Name vg0 LV UUID vNLHPP-i1t7-Wduc-pnLF-d8Zu-ht5Z-kymAsz LV Write Access read/write LV Creation host, time rescue, 2015-07-10 15:24:54 +0200 LV Status available […]

راهنمای استفاده از ترلو (بخش سوم، ابزارهای مدیریت پروژه)

پیش از این -در اینجا– درباره ترلو و روش عضویت در آن صحبت کردیم. در ادامه از روش استفاده ترلو صحبت خواهیم کرد. در اولین ورود به ترلو، یک Organization (ارگانیزیشن) و Board (برد)‌ پیش‌فرض در فضای کاربری خود مشاهده می‌کنید که توسط ترلو ایجاد شده‌است. همچنین لینک‌هایی برای ایجاد برد و ارگانیزیشن جدید وجود دارد. ایجاد یک Organization در ترلو: ارگانیزیشن برای سازمان‌دهی پروژه‌ها طراحی شده‌است و می‌تواند شامل یک یا چند برد باشد؛ به‌عنوان مثال می‌توان برای هر سازمان یا پروژه یک ارگانیزیشن جدا تعریف و برای هر بخش از آن یک برد. برای شروع پیشنهاد ما ساخت یک ارگانیزیشن می‌باشد، برای این منظور کافی است بر روی لینک «Create a new organization» کلیک نمایید تا پنجره‌ای مشابه تصویر زیر باز گردد. در این پنجره کافی است نام ارگانیزیشن را وارد و بر روی کلید «Create» کلیک نمایید. درصورت تمایل می‌توانید توضیحاتی در باره ارگانیزیشن نیز در بخش «Description» اضافه نمایید. پس از ایجاد به صفحه مشابه تصویر زیر هدایت خواهید شد. در این صفحه امکانات مدیریتی ارگانیزیشن در اختیار شما قرار دارد، مانند مشاهده بردهای آن در صورت وجود و تغییر نام و توضیحات ارگانیزیشن. همچنین در تب‌های «Settings» و «Members» می‌توانید تنظیمات بیشتری به […]

خدمات میزبانی

در مفهوم کلی خدمات میزبانی به معنی سرویس هایی است که در بستر اینترنت به کاربران ارائه می شود. محیط خدمات میزبانی یک کامپیوتر پیکربندی شده است که به ازای ارائه ی برخی از منابع و امکانات خود به مشتریان هزینه ای از آن ها دریافت خواهد کرد. از اینترنت برای اتصال سرور به کلاینت استفاده می شود و دسترسی به سرور اطلاعات، محتوا و سرویس ها از طریق اینترنت ممکن خواهد بود. انواع خدمات میزبانی در حیطه ی مفاهیم وب سایت و یا وب سرویس است اما ممکن است در برخی از موارد مفاهیم آن تغییر یابد. وب هاستینگ: مجموعه ای منحصر به فرد از برنامه های نرم افزاری یا خدمات ( مانند FTP و ایمیل) و یک محیط برای کار با زبان های برنامه نویسی مختلف ( مانند PHP، دات نت و جاوا ) فراهم می کند. فایل هاستنیگ: فایل هاستینگ امکان ذخیره سازی را در برنامه های کاربردی وب و یا سایت ها ایجاد می کند. فایل هاستینگ یک سرویس امن و ایده آل برای ذخیره سازی فایل ها است همچنین میزان از دست دادن یا سرقت فایل ها کاهش می باید. میزبانی از تصاویر: میزبان سرور امکاناتی را برای کار بر روی تصاویر و فایل های […]

ارائه دهنده خدمات مدیریت شده ( Managed Service Provider (MSP) )

MSP یک نوع از خدمات شرکت IT است که سرور، شبکه و برنامه های کاربردی تخصصی را برای کاربران و سازمان ها ارائه می دهد. این برنامه های کاربردی هاستینگ و مدیریت آن را ارائه می دهند. MSP یک مدیریت خدمات ارتباطی عمومی است مانند خط های گسترده ی شبکه ی WAN است و انواع سرویس های یک شرکت را یکپارچه و مدیریت می کند، انواع این سرویس های عبارت اند از: وب هاستینگ دسترسی استاندارد به داده ها و حمل و نقل آن ها مجوز مدیریت پشتیبانی از شبکه های ویدئویی پیام رسانی یکپارچه مدیریت نیروی انسانی و مشخصات هر فرد به طور مجزا مدیریت کامل شبکه و برون سپاری آن که شامل ویژگی هایی مثل پیام، مرکز تماس، تلفن IP، فایروال، مدیریت شبکه های خصوصی مجازی (VPS) ، نظارت و تهیه گزارش از شبکه است. ارائه دهنده خدمات میزبانی وب ( Hosting Service Provider(HSP)) HSP یک نوع از ارائه دهنده خدمات IT است که منابع IT را برای افراد و وب سایت های مبتنی بر اینترنت ارائه می دهد. ارائه دهنده خدمات میزبانی وب امکانات سخت افزاری، نرم افزاری، ذخیره سازی، شبکه و یا ترکیبی از آن ها را برای مشتریان ارائه می دهند. ارائه دهندگان خدمات میزبانی […]

MFT )Managed File Transfer)

MFT (مدیریت انتقال فایل) نسخه ی تکامل یافته ی تکنولوژی FTP است. زمانی که FTP برای انتقال فایل ها به اندازه کافی برای کاربران کارآمد نباشد از MFT استفاده می شود. در سطح مورد انتظار کاربران، MFT برای کنترل انتقال فایل، مدیریت و اتوماسیون فایل ها بسیار مناسب خواهد بود. به طور کلی MFT توسط سازمان هایی استفاده می شود که نیاز بیشتری به امکانات FTP یا HTTP دارند. MFT از تمام نیازهای انتقال داده پشتیبانی می کند. قابلیت های MFT امنیت: MFT سطح بالاتری از امنیت را نسبت به FTP ارائه می دهد. MFT از پروتکل های امن مانند FTPS )FTP مبتنی بر SSL و TLS) و SFTP )FTP مبتنی بر SSH) حمایت می کند. این پروتکل امنیت بیشتری تامین می کند و از رمز گذاری با هدف محافظت از اطلاعات در حمل و نقل استفاده می شود، امنیت MFT به گونه ای است که از ورود داده های جاسوسی جلوگیری می کند. مدیریت: مدیریت عملیات انتقال فایل از مهمترین قابلیت های MFT است که شامل کنترل مجوز کاربر نهایی، مدیریت ذخیره سازی فایل و انتقال آن ها، نظارت بر زمان واقعی انتقال فایل، ثبت مسیرها و … را شامل می شود. سرور MFT دید کاملی از تمام فایل […]

آشنایی با پتانسیل اینترنت در مقابله با تهدیدات امنیتی

امروزه استفاده از وب سایت و سرویس های اینترنت امری اجتناب ناپذیر در زمینه ی کسب و کار مبدل شده است. در واقع اینترنت بهترین ابزار برای جلب توجه مشتریان و تسهیل در معاملات بین سازمان ها می باشد. همچنین برای کسب و کارهایی که از طریق اینترنت انجام می شود هیچ حد و مرزی وجود ندارد. با این وجود در توسعه اینترنت، به موارد امنیتی و خطرهای استفاده از آن توجه ویژه ای شده است. اینترنت تجربه ی خوبی در رابطه با سهولت انتقال اطلاعات، به کاربران داده است، اما هکرها در کمین این اطلاعات می باشند، داده هایی که توسط کاربران وارد سایت می شوند عبارت اند از نام کاربری ورود به سیستم، رمز عبور، شماره حساب، شماره کارت اعتباری و … . هر نوع استفاده از اینترنت باید به گونه ای باشد که از وب سایت ها و اطلاعات بازدیدکنندگان حفاظت کند و تهدیدات اینترنتی را پیگیری کند. معنای امنیت سرورهای امن، سرویس دهنده هایی هستند که با استفاده از پروتکل امن در لایه سوکت از اطلاعات و درخواستهای کلاینت ها محفاظت می کند. از بین پروتکل های امن، سرویس دهنده ها و مرورگرهای وب، از پروتکلSSL بیشترین استفاده را می کنند. به طور کلی بسیاری از وب […]

ETAGs و Expiry Headers چیست؟

در عصر حاضر، سرعت، یکی از مهمترین فاکتورهای یک فرآیند می باشد، به عبارت دیگر در صورتی که یک فرآیند از سرعت بیشتر و پایداری بهتری نسبت به بقیه برخوردار باشد، به عنوان یک اصل و مرجع شناخته می شود و الگو پذیر می باشد. این امر در حوزه فناوری اطلاعات به خصوص در world wide web به خوبی صادق است، یکی از مهمترین و می توان گفت که بزرگترین پارامترها در رتبه دهی وبسایت، سرعت باز شدن صفحات آن می باشد. به عنوان مثال اگر سرعت بازشدن وبسایت بیش از ۱۰ ثانیه باشد، ممکن است شما از بازدید این وبسایت صرف نظر کرده و به وبسایت دیگری رجوع کنید. از اینرو بهبود و افزایش سرعت یک وبسایت نه تنها برای حفظ کاربران و بازدیدکنندگان حیاتی است، بلکه این امر می تواند در صرفه جوی مقدار زیادی از پهنای باند کمک نماید. همچنین زمان بارگذاری وب سایت، رابطه مستقیمی با پایداری سرور دارد، چه بسا زمان زیاد باعث خاموش شدن و به اصطلاح دان تایم می شود. زمانی که بحث سرعت یک وبسایت و یا وب سرور پیشرو است، ETAGS و Expiry headers دو فاکتور اصلی بشمار می آیند که نیاز به بررسی دارند. ETAGS , Expiry headers برای شناسایی […]

‫آسیب‌پذیری امنیتی پلاگین Slider Revolution وردپرس و راه‌حل آن

‫مشکل امنیتی جدیدی در یکی از پلاگین‌های WordPress (وردپرس) به نام Slider Revolution کشف شده‌است، این آسیب‌پذیری باعث می‌گردد تا نفوذگران به راحتی فایل‌های وب‌سایت شما را دانلود نمایند. ‫زمانی عمق مشکلاتی که این آسیب‌پذیری به‌همراه خود دارد نمایان می‌گردد که فایل‌هایی مانند wp-config.php در لیست فایل‌های قابل دانلود مشاهده می‌شود، wp-config.php حاوی اطلاعات بانک اطلاعاتی وب‌سایت می‌باشد و نفوذگران با دانستن این اطلاعات می‌تواند به بانک اطلاعاتی متصل شده و اقدامات مخربی نظیر دانلود بانک و یا تغییر در ساختار دیتابیس را انجام دهند. همچنین نفوذگران به کمک این آسیب‌پذیری می‌توانند source و ساختار وب‌سایت شما دریافت و در اختیار همه قرار دهند. از دیگر اقداماتی که نفوذگر می‌تواند به کمک این آسیب‌پذیری انجام دهد این است که، پس از اتصال به بانک اطلاعاتی می‌تواند برای خود کاربری با دسترسی مدیر در وردپرس ایجاد کرده و سپس از طریق آن اقدام به آپلود فایل‌های مخرب نماید. روش مقابله با آسیب‌پذیری امنیتی Slider Revolution: برای جلوگیری از بروز این مشکل امنیتی اقدامات زیر را انجام دهید. بروز رسانی پلاگین Slider Revolution کد کردن فایل wp-config.php ایجاد رمز اولیه برای صفحه wp-admin کنترل کاربران مدیر و حذف کاربر مدیر درصورت ایجاد جهت اطمینان بیشتر و کنترل فایل‌های سایت، استفاده از اسکریپت CXS توصیه […]

SQL Server Snapshot

یکی از قابلیت‌های SQL Server ویژگی Snapshot گرفتن از Database (پایگاه داده)‌ است. همانطور که از اسم آن نیز پیداست Snapshot به‌معنی image گرفتن از پایگاه داده می‌باشد. Snapshot پایگاه داده، viewای از پایگاه داده اصلی در زمانی‌که Snapshot ایجاد شده است را نمایش می‌دهد، بدین معنی که کلیه objectها و داده‌ها با زمانی‌که Snapshot گرفته شده‌است یکسان خواهد بود. Snapshot به‌صورت فقط خواندنی است و یک پایگاه داده می‌تواند شامل چندین Snapshot باشد. با استفاده از Snapshot در زمان‌های لازم می‌توانید تغییرات را به حالت قبل (در زمانی‌که Snapshot به‌روز شده‌است) بازگردانی نمائید. امکان حذف پایگاه داده اصلی تا زمانی‌که Snapshotها فعال باشند وجود ندارد و ابتدا باید آن‌ها را حذف نمود. Snapshotها وابسته به پایگاه داده هستند و به پایگاه داده اصلی اشاره می‌کنند؛ این امکان وجود دارد که فایل بک‌آپ پایگاه داده را به محل دیگری (سیستم مجزایی) منتقل نمود اما Snapshotها را نمی‌توان از پایگاه داده اصلی جدا نمود. مزیت استفاده از Snapshot سرعت بالای آن در هنگام ایجاد، بازگردانی و اِشغال فضای کمتر می‌باشد. ویژگی بارز Snapshot این است که Client می‌تواند پس از ایجاد بر روی آن Query (کوئری) اجرا کند و مانند فایل بک‌آپ نیاز به ایجاد یک پایگاه داده مجزا و بازگردانی بک‌آپ برروی پایگاه […]

مشکل امنیتی MailEnable

طبق اطلاعیه شرکت MailEnable مشکل امنیتی با درجه اهمیت Critical (بحرانی) در این نرم افزار گزارش شده است؛ برای حل این آسیب‌پذیری باید سریعا به‌روز رسانی انجام شود. این آسیب‌پذیری امنیتی توسط یکی از هم وطنان به نام سروش دلیلی کشف و به شرکت MailEnable گزارش شده است. این مشکل به گونه‌ای است که با سو استفاده از آن می‌توان ایمیل‌های کاربران دیگر در سرورهای اشتراکی را مشاهده نمود. جهت رفع آسیب‌پذیری باید نرم‌‌فزار را به یکی از نسخه‌های زیر به‌روز رسانی نمود. Version 8.60 Version 7.60 Version 6.88 Version 5.62 روش رفع آسیب‌پذیری امنیتی ‌MailEnable: ۱- برای به‌روز رسانی ابتدا باید نسخه‌ی استفاده شده از نرم‌افزار MailEnable مشحص شود. برای این کار از ابزار «Diagnostic Utility» که در مسیر زیر قرار دارد، استفاده نمود. Start > Programs > Mail Enable > System Tools > Diagnostic Utility پس از اجرای ابزار Diagnostic Utility پنچره‌ای در browser باز می‌شود و نسخه MailEnable را در کادر Installed Product را نمایش خواهد داد. ۲- در مرحله دوم شما باید به‌روز رسانی مناسب را برای نسخه Mail Enable خود دانلود نمایید. در صورتی که از نسخه ۸ استفاده می‌کنید می‌توانید از اینجا نسبت به دانلود به‌روز رسانی اقدام کنید. اگر نسخه‌ای قدیمی‌تر از نسخه ۸ استفاده می‌کنید می‌توانید نسبت به دانلود به‌روز […]

آسیب‌پذیری امنیتی vBSEO

طبق گزارش اعلام شده در وب‌سایت رسمی vBulletin، پلاگین vBSEO دارای مشکل امنیتی CVE-2014-9463 با درجه Critical (بحرانی) می‌باشد که امکان نفوذ به انجمن‌های پیاده‌سازی شده توسط vBulletin (ویبولتین)‌ را به هکرها می‌دهد. vBSEO یک پلاگین بهینه‌سازی سئو و بالابرن رنکینگ انجمن‌های پیاده‌سازی شده با ویبولتین می‌باشد، چند وقت پیش توسعه‌دهنده‌گان vBSEO اعلام کردند که دیگر از این پلاگین پشتیبانی نخواهند کرد. ویبولتین با توجه به عدم پشتیبانی توسعه‌دهنده‌گان vBSEO از این پلاگین، یک راه‌حل برای این مشکل امنیتی ارائه داده‌است، اما در کنار ارائه راه‌حل اعلام کرده‌است: «همانطور که می‌دانید این راه‌حل به دلیل عدم پشتیبانی توسط ما ارائه شده‌است، توصیه ما به همه استفاده‌ کننده‌گان انجمن‌ساز vBulletin حذف این پلاگین می‌باشد، ما هیچ مسئولیتی در قبال بهینگی و کارایی این راه‌حل بر عهده نگرفته و استفاده از آن با مسئولیت خود شما خواهد بود.» راه‌حل مقابله با آسیب‌پذیری امنیتی vBSEO: ابتدا فایل را در مسیر زیر باز کنید: vbseo/includes/functions_vbseo_hook.php خطوط زیر را در فایل functions_vbseo_hook.php پیدا کنید: if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’])) $permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl; سپس کدهای را به صورت زیر کامنت نمایید تا اجرا نشوند: // if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’])) // $permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl; متاسفانه با توجه به این‌که تا کنون جایگزینی برای vBSEO معرفی نشده، حذف این پلاگین ساختار لینک‌ها را به حالت پیش‌فرض vBulletin تغییر خواهد داد و ممکن است باعث […]

فایروال CSF

یکی از الزاماتی که در استاندارهای امنیتی مطرح شده است، استفاده از فایروال‌های نرم افزاری و سخت‌افزاری می باشد که به جهت جلوگیری از حملات تکذیب سرویس و یا اعطای دسترسی بر اساس آی پی مورد استفاده قرار می‌گیرند. در سرورهای لینوکسی فایروال‌های متنوعی وجود دارد. یکی از بهترین فایروال‌های لینوکسی فایروال iptables است که به دلیل نداشتن محیط گرافیکی ممکن است زیاد مورد استقبال کاربران قرار نگیرد. به همین دلیل شرکت های مختلف در صدد تولید فایروال‌های با محیط GUI برای لینوکس برآمده‌اند. CSF یکی از بهترین محصولات و فایروال های لینوکسی می‌باشد. فایروال CSF محصول شرکت configserver است که براساس دستورات iptables مدیریت فایروال را انجام می‌دهد و به صورت رایگان و با محیطی کاربر پسند ارایه شده‌است. برای نصب این فایروال در سرورهای لینوکسی مراحل زیررا انجام می دهیم: ۱- دانلود بسته فایروال در لینوکس با دستور زیر #wget http://www.configserver.com/free/csf.tgz ۲- استخراج فایل های مربوطه از فایل فشرده #tar zxvf csf.tgz ۳- در مرحله سوم به شاخه استخراج شده وارد می‌شویم #cd csf ۴- در این مرحله پروسه نصب آغاز می گردد. برای نصب فایروال در کنترل پنل‌های مختلف فایل‌های مجزایی در فایروال وجود دارد تا پروسه نصب برای کنترل پنل‌های مختلف را تسریع نماید. به جهت […]