اخبار پلتفرم دی ان ان را در سال های اخیر دنبال کرده باشید .اطلاع دارید که شرکت دی ان ان در بهار سال 1394 یک حفره امنیتی مربوط به فایل ویزارد نصب (InstallWizard.aspx) را انتشار نمود و سپس به فایله اصلاحیه برای فایل مذکور صادر نمود . به تازگی در نسخه های 7 و 8 این پلتفرم حفره امنیتی دیگر مربوط به این بخش گزارش شده که حمله کننده گان از حفره امنیتی قادر به حملات شدید و آسیب رساند به وب سایت ها میشود که در این خبر قصد داریم تا شما را با آموزش حل این حفره امنیتی و ایمن سازی ان همراهی کنیم .
به استناد به خبر رسمی از سوی دی ان ان با لینک :
http://www.dnnsoftware.com/platform/manage/security-center/type/framework/version/070402?name=dnncorp.ce
این حفره امنیتی به مهاجمین اجازه می دهد :
- یک مدیر ارشد ایجاد کنند .
- تمام تنظیمات دی ان ان و جداول را ویرایش کنند .
- تنظیمات سامانه ارسال ایمیل (SMTP) را غیر فعال کنند .
- فایل های شل (Shell) با فرمت های مخلتف به سایت تزریق کنند .
آموزش محافظت و ایمن سازی و رفع آسیب پذیری سایت ها از حملات مهاجمین (High Risk issue)
1.اقدامات ایمن سازی از طریق محیط مدیریت پلتفرم دی ان ان :
- بررسی میزبان > مدیران ارشد > لیست مدیران ارشد وب سایت را بررسی نمایید و در صورت مشاهده هر گونه کاربر اضافی سریع به حذف آن اقدام نمایید .
- بخش میزبان > تنظیمات میزبان > تب سایر تنظیمات > لیست فایل های مجاز > مطمئن شوید در این لیست فرمت های aspx , php قرار نداشته باشد در صورت مشاهده نیز حذف کنید .
- از بخش میزبان > تحلیل گر امنیتی (موجود در نسخه 7.4.1 به بالا) > موارد را از این بخش بررسی کنید .
2.اقدامات ایمن سازی از فایل منیجر پنل مدیریت (Root site) :
- بررسی و جستجوی فایل با پسوند های aspx , php در روت سایت و زیر پوشه سایت و در صورت مشاهده حذف فایل اقدام نمایید .
- حذف فایل های زیر از پوشه install
· DotNetNuke.install.config
· DotNetNuke.install.config.resources
· InstallWizard.aspx
· InstallWizard.aspx.cs
· InstallWizard.aspx.designer.cs
· UpgradeWizard.aspx
· UpgradeWizard.aspx.cs
· UpgradeWizard.aspx.designer.cs
· Install.aspx
· Install.aspx.cs
· Install.aspx.designer.cs
3.تنظیمات سطح دسترسی کاربر به IIS :
- فقط دسترسی خواندن(Read) در ریشه و زیر پوشه ها .
- دسترسی خواندن، نوشتن و ویرایش در پوشه Portals و App_Data و Desktopmodules\admin\RadEditorProvider
- غیر فعال سازی امکان Script and Execute
مطلب آخر :
از مدیران فعال در حوزه فناوری اطلاعات و مدیران انفورماتیک سازمان ها و نهاد های دولتی و غیر دولتی و شرکت ها و دوستان و همکاران محترم خواهشمندیم موارد امنیتی سطح سرور را حتما بررسی نمایید تا شاهد حملات بیشتری نباشیم. بیشتر حملاتی که در این چند روز اخیر شاهد بودیم که عدم توجه کافی به مسائل امنیتی بود که باعث بروز چنین مشکلات امنیتی شده در وب سایت های غیر دی ان ان شده است و از دوستانی که سایت با هسته دی ان ان نیز دارند لطفا موارد بالا رو حتما انجام دهید.
با تشکر .
برای اطلاع از آخرین اخبار دی ان ان و محصولات دی ان ان پلاس عضو کانال رسمی ما شوید .
https://telegram.me/Dnnplus
/انتهای خبر .