منتدى جامعه جنوب الوادى بقنا
افضل طرق حماية المنتدى من الاختراق VB  R2

عزيزى الزائر انت الان موجود بمنتدى جامعه جنوب الوادى بقنا,

نرجو منك الاشتراك , لكى تستفيد بخدمات المنتدى.
ملوحظه:لو سمحت بعد الاشتراك اذهب الى اميلك لتفعيل عضويتك
حتى تسطيع الاستفاده الكامله.......
منتدى جامعه جنوب الوادى بقنا
افضل طرق حماية المنتدى من الاختراق VB  R2

عزيزى الزائر انت الان موجود بمنتدى جامعه جنوب الوادى بقنا,

نرجو منك الاشتراك , لكى تستفيد بخدمات المنتدى.
ملوحظه:لو سمحت بعد الاشتراك اذهب الى اميلك لتفعيل عضويتك
حتى تسطيع الاستفاده الكامله.......
منتدى جامعه جنوب الوادى بقنا
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.

منتدى جامعه جنوب الوادى بقنا


 
الرئيسيةأحدث الصورالتسجيلدخول

 

 افضل طرق حماية المنتدى من الاختراق VB

اذهب الى الأسفل 
4 مشترك
كاتب الموضوعرسالة
@ابوسمرة@
عضو فضى
عضو فضى
@ابوسمرة@


ذكر
مساهماتى بمنتدى الجامعه : 543
العمر : 40
الموقع : http://mohandsen4net.yoo7.com
دعاء المنتدى : قمة العظمة..أن تبتسم وفي عينيك ألف دمعه... وقمة الصبر..أن تسكت وفي قلبك جرح يتكلم... وقمة الألم..أن يجرحك من تحب... وقمة الحب..أن تحب من جرح
تاريخ التسجيل : 04/08/2009
نقاط : 28982

افضل طرق حماية المنتدى من الاختراق VB  Empty
مُساهمةموضوع: افضل طرق حماية المنتدى من الاختراق VB    افضل طرق حماية المنتدى من الاختراق VB  Icon_minitimeالإثنين يونيو 28, 2010 9:26 am


بسم الله الرحمن الرحيم

نبدا الشرح على بركة الله
1-
الهاكرز غالبا يخترقون المنتديات عن طريق المجلدات الرئيسية بالمنتدى مثل
admincp او modcp او install او includes
نعم فعلا يدخلونها بكل سهولة ولا جدار ناري ! فكيف نضع جدار ناري في وجوههم تمنعهم من دخول المجلدات هذه
اليكم الطريقة :
ادخل الى لوحة التحكم بالموقع ، CPanel
اضغط على
Password Protected Directories
ادخل مجلد المنتدى وغالبا يكون VB
سترى الان محتويات المجلد
الان قم بالضغط على المجلد الاتي
admincp
ستظهر لك هذه الرسالة بالصفحة
Folder requires a password to access via http://
اشر عليها بعلامة صح او غيرها
Protected Resource Name
في هذه الخانة اكتب PRIVATE
بالاسفل قم باضافة الاشخاص الذين لهم حق الدخول باعطائهم اسماء مخصصة وباسوردات
واضغط add user
بعد الانتهاء
اضعط على save
راح تلاحظ ظهور علامة قفل بالقرب من المجلد
كرر نفس العملية للمجلدات التالية
modcp و install و includes


=-=-=--=-=-=-=-=-=-=-=-=----=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-
2- فالنفترض بأن الهاكر كان ماهرا واخترق الجدار الناري ( شبه مستحيل ) اليك الحماية الاخرى
من برنامج الاف تي بي او لوحة تحكم الموقع ادخل على
File Manager
بعدها قم بالضعط على المجلد
admincp
اختر rename this folder
غير اسمه من admincp الى اي شيء آخر
مثال ABCDadmincp
كذلك الحال الى المجلد modcp
الان والمهم بعد التغيير مباشرة وبشكل سريع
افتح ملف config.php
الموجود تحت مجلدinclude
قم بتعديل اسماء المجلدات كالتالى
كود:
$admincpdir = 'admincp';
(قم بتغير اسم المجلد الى الذي اخترته بعد اشارة =)
كود:
$modcpdir = 'modcp';
(قم بتغير اسم المجلد)
قم بتغيير اسم مجلد admincp للاسم الذى كتبته بملف الكونفيج
الان ارفع ملف الكونفيج من جديد

=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-=-=-
3- ثغرة الـ HTML
اذهب الى لوحة تحكم المنتدى بعدها الى خيارات المنتدى
VB OPTIONS
بعدها الى User Profile Options
خيارات هوية العضو
السماح بأكواد الـ HTML في التواقيع
لا
خيارات المنتدى
خيارات الرسائل الخاصة
السماح بأكواد الـ HTML في الرسائل الخاصة
خيارات المنتدى
خيارات ملاحظات العضو
السماح بـ HTML في ملاحظات الأعضاء

=-=-=-=--=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=---=-=-=--
4- ثغرة شريط اخر المواضيع :
افتح ملف last10.php
وببعض الهاكات الاخرى ملف ttlast.php
ابحث عن
كود:
$fsel
$ftitle
فقط قم بحذفهم من الملف
وارفعه لمجلد منتداك

=-=-=--=-=-=-=-=-=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
5-ثغرة ملف التعليمات faq.php
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى
طريقة سد الثغرة
فتح ملف faq.php وقم بالبحث عن الأسطر التاليه
كود:
// initialize some template bits
$faqbits = '';
$faqlinks = '';
أضف بعدها مباشرة

كود:
$navbits[''] =$vbphrase['faq'];
احفظ الملف وارفعه لمجلد منتداك

=-=-=-=-=-=-=-=-=-=--=-=-=-=-=--=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
6-ثغرة ملف editpost.php
هي ثغره من نوع CrossSite scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث
طريقة سد الثغرة
قم بفتح ملف editpost.php وابحث عن السطر التالي

كود:

$edit['title'] = trim($_POST['title']);
استبدله بهذا السطر

كود:
$edit['title'] = trim(xss_clean($_POST['title']));
احفظ الملف وارفعه لمجلد منتداك

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
7-ثغرة ملف authorize.php
وهي ثغره من نوع SQL Injection
هو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
(قم بحذف الملف نهائيا )

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-

8-ثغرة في ملف editpost.php
إفتح الملف وفي أوله بعدأضف الكود التالي
كود:
$title = addslashes($title);
if (strstr($title,"script") != NULL){
echo "hello.. are you hacking us?
vBulletin
note: use scr!pt";
exit;
}
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

9-قم بفتح الملف memberlist.php في مجلد المنتدى vb
وامسح جميع محتوياته وضع الكود التالي

كود:



sorry member page is not available at the moment
واحفظ الملف

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
10- قم بفتح ملف calendar.php
وامسح جميع محتوياته وضع الكود التالي
كود:



sorry calendar page is not available at the moment
واحفظ الملف


=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--------------------

11- افتح ملف الكونفيق الي في منتداك config.php في مجلد includes
كود:
// Prefix that all vBulletin *****es will have
// For example
$*****eprefix = 'bb';
غير الحرف bb
الى اي حروف تريدها المهم غير bb
واحفظ الملف


=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-
12- ثغرة محرك البحث
استبدل الملف التالي
vb/includes/functions_search.php
بالملف المرفق باسم (functions_search.php)
ملاحظه قم بفك الضغط عن الملف السابق


=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
13- ثغرة الصندوق السحري
قم بالذهاب الى لوحة تحكم المنتدى بعدها الى خيارات الاكواد
bbcode option
قم بمسح كود الـ FLASH
فيها ثغرة تتعلق بالكوكيز
كذلك الحال الى كود التنسيق الشعر قم بحذفه وحذف جميع ملفاته في الفايل منجر
فهو مملوء بالثغرات

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
14- حل ثغرة مركز التحميل
افتح ملف uploader.php
ابحث عن :
كود:
$type = explode("." ,$file_name);
استبدله بـ :
كود:
$type = explode("." ,$file_name,2);
احفظ الملف


=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
15-اذهب الى مجلد includes
قم باعادة تحميل ملف init.php
ملاحظة : الملف مرفق بالموضوع

للاهمية عدد الثغرات اكثر من 15 ثغرة لكن مسح بعض الملفات قلصت العدد وهذا ما ننصح به!
سوف يتم التحديث حين ظهور اي ثغرة جديدة بمنتديات الـ vb
لتحميل الملفات السابقة :
من المرفقات بنهاية الموضوع

القسم الثاني :
المعلومات الاضافية:

- هناك بعض الهاكرز والكراكرز يخترقون المواقع والمنتديات عن طريق CPANEL المشهور
وذلك عن طريق **ر الحاجز واكدت بعض المصادر ان **ر هذا الحاجز يتطلب مهارة عالية جدا
فهي شبه مستحيله
بعدما يخترق الجدار ويدخل لوحة التحكم يتوجه الى ملف يحتوي على ايميل الادمن او المشترك
حيث ترسل اليه البيانات والباسورد حين فقدانه له او طلب اعادة انشاءه
ولاغلاق هذه الصفحة عليك بالتحدث مع قسم المراقبة للموقع الهوست
support team
عن طريق البريد او اي شيء اخر سوف يسألون عن سبب ليقوموا باغلاق الخدمه قل لهم انك تعرضت لتهديد شديد
من الهاكرز

------------------------------------
النقطة الاخرى تتعلق بدخول الاف تي بي
عليك التحدث مع نفس الفريق او الدعم الفني للشركة الهوست
لغلق خدمة دخول الضيوف الى الاف تي بي تبع موقعك
( Anonymous )

القسم الثالث:
لزيادة حماية ملف Init.php
قم بتطبيق الاتي
لزيادة حماية الملف المرفق init.php
قم بترقيع هذه الثغرة والتي اكتشفها شخص بريطاني
والثغره موجوده في ملف init.php وتحديداً في سطر 542 وهي ثغرة SQL Injection
ويتم نجاح هذه الثغره إذا كانت خاصية magic_quotes_gpc معطله OFF داخل الـ PHP .

التـــرقـــيـــع :
توجد طريقتين
الأولى :
إضافة السطر التالي في ملف .htaccess
php_value magic_quotes_gpc 1
الثاني/ بتعديل ملف init.php .
قم بالبحث عن

كود:
$datastoretemp = $DB_site->query("
SELECT title, data
FROM " . TABLE_PREFIX . "datastore
WHERE title IN ('" . implode("', '", $specialtemplates) . "')
");
unset($specials, $specialtemplates);
واستبداله بالتالي

كود:
if(!is_array($specialtemplates))
exit;
$specialtemplate = array();
foreach ($specialtemplates AS $arrykey => $arryval)
{
$specialtemplate[] = addslashes($specialtemplates["$arrykey"]);
}
$datastoretemp = $DB_site->query("
SELECT title, data
FROM " . TABLE_PREFIX . "datastore
WHERE title IN ('" . implode("', '", $specialtemplate) . "')
");
unset($specials, $specialtemplates, $specialtemplate);
القسم الرابع:
توجد هناك ثغرة في online.php
(المتواجدون الان ) لم يتم الحصول على ترقيع لها او تحديد لها
لذلك وللاحتياط قم بالغاء عرض صفحة المتواجدون الان للاعضاء المسجلين والضيوف وغيرهم
ما عدا المشرف العام الا وهو انت

ادخل لوحة التحكم الخاصة بالمنتدى
اذهب الى خيارات المجموعات
Usergroup Manager
اضغط على المجموعة المحددة
من خيار
Who's Online Permissions
اجعل جميعها NO لا
واحفظ قم بالتغيير للمجموعات المسجلة الا الادمن الا وهو انت فقط


ارجوا ان اكون قد وفقت فى الشرح هذا الشرح عن تجربه
الرجوع الى أعلى الصفحة اذهب الى الأسفل
zamallekawaya 4 ever
نائبة المدير العام
نائبة المدير العام
zamallekawaya 4 ever


انثى
مساهماتى بمنتدى الجامعه : 12438
العمر : 33
الموقع : ياما ف البيت او ف الجامعه
تاريخ التسجيل : 30/03/2009
نقاط : 52431

افضل طرق حماية المنتدى من الاختراق VB  Empty
مُساهمةموضوع: رد: افضل طرق حماية المنتدى من الاختراق VB    افضل طرق حماية المنتدى من الاختراق VB  Icon_minitimeالإثنين يونيو 28, 2010 12:56 pm

ميرسي ع التوبيك
الرجوع الى أعلى الصفحة اذهب الى الأسفل
امير روما
عضو فضى
عضو فضى
امير روما


ذكر
مساهماتى بمنتدى الجامعه : 978
العمر : 34
تاريخ التسجيل : 17/10/2009
نقاط : 29046

افضل طرق حماية المنتدى من الاختراق VB  Empty
مُساهمةموضوع: رد: افضل طرق حماية المنتدى من الاختراق VB    افضل طرق حماية المنتدى من الاختراق VB  Icon_minitimeالثلاثاء يونيو 29, 2010 2:54 pm

نايس توبيك يا ابو سمرة
الرجوع الى أعلى الصفحة اذهب الى الأسفل
مرمر حسين
عضو صاحب مكان
عضو صاحب مكان
مرمر حسين


انثى
مساهماتى بمنتدى الجامعه : 19
العمر : 39
دعاء المنتدى : يـا مقلـب القلـوب ثبـت قلوبنـا على دينـك
تاريخ التسجيل : 22/12/2009
نقاط : 27324

افضل طرق حماية المنتدى من الاختراق VB  Empty
مُساهمةموضوع: رد: افضل طرق حماية المنتدى من الاختراق VB    افضل طرق حماية المنتدى من الاختراق VB  Icon_minitimeالأحد يوليو 04, 2010 11:35 am

شكرا على الافادة flower
الرجوع الى أعلى الصفحة اذهب الى الأسفل
@ابوسمرة@
عضو فضى
عضو فضى
@ابوسمرة@


ذكر
مساهماتى بمنتدى الجامعه : 543
العمر : 40
الموقع : http://mohandsen4net.yoo7.com
دعاء المنتدى : قمة العظمة..أن تبتسم وفي عينيك ألف دمعه... وقمة الصبر..أن تسكت وفي قلبك جرح يتكلم... وقمة الألم..أن يجرحك من تحب... وقمة الحب..أن تحب من جرح
تاريخ التسجيل : 04/08/2009
نقاط : 28982

افضل طرق حماية المنتدى من الاختراق VB  Empty
مُساهمةموضوع: رد: افضل طرق حماية المنتدى من الاختراق VB    افضل طرق حماية المنتدى من الاختراق VB  Icon_minitimeالأحد يوليو 04, 2010 12:06 pm

شكرا لكم على مروركم الطيب
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
افضل طرق حماية المنتدى من الاختراق VB
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1
 مواضيع مماثلة
-
» افضل برنامج حماية حتى الان ومستخدم من اكبر الشركات
» هنا ممكن تكتب اقتراحاتك عن المنتدى ؟ لو عاوز تعمل او تضيف اىحاجه فى المنتدى
» جميع برامج الهكر (الاختراق) لتحميل بروابط مباشرة متجدد دائما
» الأوامر على العرائض فى قانون حماية حقوق الملكية الفكرية
» افضل عضوه

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتدى جامعه جنوب الوادى بقنا :: المنتديات التقنيه والتكنولوجيا والعلميه-
انتقل الى: