عذب القوافي
30-08-06, 06:56 PM
السلام عليكم
في بعض الاخوان طلب تركيب هاكات على موقعه
وللاسف لما ادخل اجد المجلد المعني بهذا الشرح
وهذا المجلد من اخطر الثغرات الامنيه والتى بها اضغر هكر بالعالم يقدر يلعب بموقعك
كيفما يشاء والوقت اللي يحبه وياخذ القاعده بأقل مجهود
فياليت الكل ينتبه لهذه النقطه فورا
واي شخص يطلب مني تعديل بعد اليوم يسمح لي لاني بنفذه بدون استشيره خوفا على موقعه
واحد من الاخوان بالمعهد جزاه الله خير نزل شرح مصور واجيبه لكم هنا لتعم الفائده
=============================
الضعف الأمني الذي لم ينتبه الكثير من اصحاب المنتديات vb وخاصة اللى مش مرخصين النسخة وهو ملف install
الملف Install هو المسئول عن تركيب منتدي جديد او ترقية منتدي قديم لمنتدي جديد ولكن الكثير بعد ما يتم عملية التركيب والترقية بيقوم بحذف ملف install.php فقط للدخول الى لوحة تحكم المشرف العام وهذا غلط كبير...
والأضرار التي تحدث اذا لم يتم حذف المجلد بان المخترق سيتمكن من الدخول على المسار معين
(لم يتم وضع الإستغلال لأسباب أمنية)
وسيظهر له الرسالة التالية
vBulletin Database Backup System
وهو نظام النسخ الأحتياطية لقاعدة بيانات المنتدي
وطبعاً المحور الرئيسي لأي منتدي vbulletin هيا قاعدة بياناته
وسيتم اخذ نسخة احتياطية كالصورة التالية
http://www.freewebtown.com/4-20/t/i/tilerfx/images/vbinstall/00.jpg
الحماية
المفروض يتم عمل حذف شامل للمجلد install ليس فقط install.php
أو
يتم حماية الملفات الآتية وهيا
ِAdmincp
includes
Install
Modcp
وطرق حمايتهم كالآتي
طريقة حماية الملفات والمجلدات بكلمة مرور وإسم مستخدم
إن حماية الملفات بأسم مستخدم وكلمة السر أمر جيد إذا كنت لا تريد من أحد أن يدخل إلي وصلة معينة أو مجلد معين هنا ستقرأ كيفية عمل ذلك من خلاص لوحة التحكم Cpanel
بعد الدخول الى لوحة تحكم الموقع توجه إلي Password Protecting
http://www.freewebtown.com/4-20/t/i/tilerfx/images/vbinstall/01.jpg
ستتوجه إلي صفحة بها قائمة المجلدات أضغط إسم المجلد الذي تريد حمايته أو إذا كان المجلد موجود ضمن مجلد آخر إضغط على صورة المجلد الذي يوجد ضمنه المجلد الذي تريد حمايته ثم اتبع الخطوات
http://www.freewebtown.com/4-20/t/i/tilerfx/images/vbinstall/02.jpg
1- إضغط على المربع الصغير لتظهر علامة صح
2- إكتب هنا عنوان لعملية الحماية (هو الذي سيظهر لشخص الذي سيكتب أسم المستخدم وكلمة السر)
3- إضغط Save
ستنقل لصفحة جديدة الأن أضغط Go Back ، يجب عليك الآن أضافة أسم المستخدم وكلمة المرور لسماح بالدخول إلي الوصلة الموجهة للمجلد المحمي ، أتبع الخطوات
http://www.freewebtown.com/4-20/t/i/tilerfx/images/vbinstall/03.jpg
1- أدخل إسم مستخدم من عندك
2- ادخل كلمة الكمرور للمستخدم ، الآن أضغط Add New user ستنقل لصفحة جديدة ثم أضغط Go Back .
3- هنا سيظهر اسم المستخدم الذي بإمكانه الدخول إلي الوصلة الموجهة للمجلد المحمي.
يمكنك أضافة أكثر من اسم المستخدم للمجلد الواحد وهكذا وحذفهم كما تشاء.
مثال اذا حميت مجلد اسمة vb بأسم مستخدم وكلمة المرور وهذا المجلد موجود في public_html مباشرة ستكطون الوصلة الى المجلد www.domain.com/vb حيث domain أسم نطاق لموقعك ، إذا حاول أي شخص الدخول لتلك الوصلة فأن صندوقاً سيظهر به العنوان الذي كتبته حيث الصندوق يطلب بإدخال أسم المستخدم وكلمة المرور المضافة للمجلد المحلي.
أرجو الحذر والإهتمام بهذا الضعف الأمني....F X
بالتوفيق
في بعض الاخوان طلب تركيب هاكات على موقعه
وللاسف لما ادخل اجد المجلد المعني بهذا الشرح
وهذا المجلد من اخطر الثغرات الامنيه والتى بها اضغر هكر بالعالم يقدر يلعب بموقعك
كيفما يشاء والوقت اللي يحبه وياخذ القاعده بأقل مجهود
فياليت الكل ينتبه لهذه النقطه فورا
واي شخص يطلب مني تعديل بعد اليوم يسمح لي لاني بنفذه بدون استشيره خوفا على موقعه
واحد من الاخوان بالمعهد جزاه الله خير نزل شرح مصور واجيبه لكم هنا لتعم الفائده
=============================
الضعف الأمني الذي لم ينتبه الكثير من اصحاب المنتديات vb وخاصة اللى مش مرخصين النسخة وهو ملف install
الملف Install هو المسئول عن تركيب منتدي جديد او ترقية منتدي قديم لمنتدي جديد ولكن الكثير بعد ما يتم عملية التركيب والترقية بيقوم بحذف ملف install.php فقط للدخول الى لوحة تحكم المشرف العام وهذا غلط كبير...
والأضرار التي تحدث اذا لم يتم حذف المجلد بان المخترق سيتمكن من الدخول على المسار معين
(لم يتم وضع الإستغلال لأسباب أمنية)
وسيظهر له الرسالة التالية
vBulletin Database Backup System
وهو نظام النسخ الأحتياطية لقاعدة بيانات المنتدي
وطبعاً المحور الرئيسي لأي منتدي vbulletin هيا قاعدة بياناته
وسيتم اخذ نسخة احتياطية كالصورة التالية
http://www.freewebtown.com/4-20/t/i/tilerfx/images/vbinstall/00.jpg
الحماية
المفروض يتم عمل حذف شامل للمجلد install ليس فقط install.php
أو
يتم حماية الملفات الآتية وهيا
ِAdmincp
includes
Install
Modcp
وطرق حمايتهم كالآتي
طريقة حماية الملفات والمجلدات بكلمة مرور وإسم مستخدم
إن حماية الملفات بأسم مستخدم وكلمة السر أمر جيد إذا كنت لا تريد من أحد أن يدخل إلي وصلة معينة أو مجلد معين هنا ستقرأ كيفية عمل ذلك من خلاص لوحة التحكم Cpanel
بعد الدخول الى لوحة تحكم الموقع توجه إلي Password Protecting
http://www.freewebtown.com/4-20/t/i/tilerfx/images/vbinstall/01.jpg
ستتوجه إلي صفحة بها قائمة المجلدات أضغط إسم المجلد الذي تريد حمايته أو إذا كان المجلد موجود ضمن مجلد آخر إضغط على صورة المجلد الذي يوجد ضمنه المجلد الذي تريد حمايته ثم اتبع الخطوات
http://www.freewebtown.com/4-20/t/i/tilerfx/images/vbinstall/02.jpg
1- إضغط على المربع الصغير لتظهر علامة صح
2- إكتب هنا عنوان لعملية الحماية (هو الذي سيظهر لشخص الذي سيكتب أسم المستخدم وكلمة السر)
3- إضغط Save
ستنقل لصفحة جديدة الأن أضغط Go Back ، يجب عليك الآن أضافة أسم المستخدم وكلمة المرور لسماح بالدخول إلي الوصلة الموجهة للمجلد المحمي ، أتبع الخطوات
http://www.freewebtown.com/4-20/t/i/tilerfx/images/vbinstall/03.jpg
1- أدخل إسم مستخدم من عندك
2- ادخل كلمة الكمرور للمستخدم ، الآن أضغط Add New user ستنقل لصفحة جديدة ثم أضغط Go Back .
3- هنا سيظهر اسم المستخدم الذي بإمكانه الدخول إلي الوصلة الموجهة للمجلد المحمي.
يمكنك أضافة أكثر من اسم المستخدم للمجلد الواحد وهكذا وحذفهم كما تشاء.
مثال اذا حميت مجلد اسمة vb بأسم مستخدم وكلمة المرور وهذا المجلد موجود في public_html مباشرة ستكطون الوصلة الى المجلد www.domain.com/vb حيث domain أسم نطاق لموقعك ، إذا حاول أي شخص الدخول لتلك الوصلة فأن صندوقاً سيظهر به العنوان الذي كتبته حيث الصندوق يطلب بإدخال أسم المستخدم وكلمة المرور المضافة للمجلد المحلي.
أرجو الحذر والإهتمام بهذا الضعف الأمني....F X
بالتوفيق