درس فى الحمايه الشامله للمنتديات

السلام عليكم ورحمة الله وبركاته

اللهم لا علم الا ما علمتنا

لاخير في كاتم العلم

قال صلى الله عليه وسلم :
(( من كتم علما يعلمه جاء يوم القيامة ملجماً بلجام من نار ))

اهلا بكم اخوانى الكرام فى شرح جديد عن حماية المنتديات

ان شاء العلى القدير سيكون هذا الشرح بمثابة سلسلة دروس

ارجو من الله ان يوفقنى واياكم

نبدا بامر الله تكملة درس حماية المنتديات والمواقع وترقيع ثغرات مراكز تحميل الملفات والصور

وبعض الثغرات الخطيرة

اولاً سجل الدخول للوحة تحكم المنتدى



بعد الخول للوحة التحكم

ثم خيارات المنتدي











طبعا يتم وضع بعض الكلمات المعينه لسد بعض الثغرات الخطيرة
سبق وتحدثنا عنها فى الدرس السابق

عندما تضغط على المتواجدون الان بصفتك انت صاحب المنتدى

تجد العضو فلان يتصفح موضوع كذا والعضو هذا يتصفح قسم ذاك

ولكن الغريب ان تجد شخص يشاهد الارشيف؟

او التقويم؟

او يشاهد لوحة تحكم المدير العام؟

هنا يبدا الضيف الثقيل باظهار نواياه

طبعاً هو ليس يشاهدهم لكى يطالع جملهم لا فى هذه الحاله لابد ان تعمل حظر لـ الاى بي الخاص به

وذلك يتم عن طريق لوحة التحكم ثم خيارات المنتدى ثم خيارات حظر الاعضاء

وتضع الاي بى الخاص به فى مربع الحظر كما فى الصورة






خطوة اخرى بسيطه لاكنها خطيرة لو اهملناها وهى عن طريقها يقدر

العضو يتحول لمشرف عام او ادارى او مراقب او مشرف الخ

لوحة التحكم ثم مجموعات الاعضاء ثم التحكم بالمجموعات

نشوف الصورة




هنا المجموعات التى سيتم التعديل عليها

المشرف العام
الاداريين

المشرفين

المشرفات

والتعديل على هذه المجموعات فقط

اختار المجموعه واضغط على اذهب سيتم فتح الصلاحيات

انزل بالاسفل الخيار قبل الاخير واجعله على ( لا )

التعديل كما فى الصورة





هذا الخيار ان جعلته على نعم يقدر اى عضو بكل سهوله

ينتقل من عضو الى مشرف عام او ادارى او مشرف الخ..

وذلك عن طريق الضغط على طلب الانضمام الى هذه المجموعه

===========

خطوة اخرى وهى ان تجعل الادمن لايمكن التغيير فى بيناته من ملف الكونفج

==

كما يوجد ايضا ان تتفجيء بعد تركيب استايل مثلا او واجهه بان تم اختراق منتدى طبعا السبب معروف

وهو ان شخص ما يقوم بزرع اكواد شل ****l فى اكواد الاستايل وبعد تركيبك انت للاستايل

اصبح منتداك فى تده يلهوة به كما يشاء لذلك قم بفحص اى استايل قبل تركيبه حتى تطمئن بانه لا يحوى اى اكواد

غريبه او ليست خاصه بالاستايل

====

نقطة اخرى ربما لاحظ البعض انه بعد اختراق منتداه وبعد ان قمت باستعادته تم اختراقه مرى اخرى

هنا يحدث لك حالة استغراب او اندهاش كيف تم اختراق المنتدى برغم انى اقفلت الثغرات؟

السبب بسيط جدا ولكن يجهله البعض وربما يوجد احد يعلمة ولاكنى اشك انه يعلمه احد الا الشخص الذى له

معرفه بالبرمجه والهاكر ايضاَ السبب ان المخترق يقوم بزرع كود خبيث فى ملف الكونفج وبعض ملفات المنتدى الاساسيه

انت طبعا بعد عودة منتداك كل مايشغل بالك بان ترجع الصفحه التى غيرتها المخترق وتكتشف بعد مرور ايام انه تم السيطرة

على الموقع مرى اخرى انت بتقول انا قمت بالبحث عن الشيل او الشيلات التى تم زرعها وقمت بحذفها

عند البحث لايمكن ان تكتشف الكود الخبيث ولذلك اطلق عليه مبرمجيه الكود الخبيث

ولا يقدر على زراعه هذا الكود الا شخص يعرف فى البرمجه خاصة برمجة php

لانه لو قام بزرع الكود بطريقه خطاء الكود سيعطى رسائل خطاء ويكشف نفسه

تفادى هذه المشكله اذا تم اختراق موقعك او منتداك لاقدر الله انصحك برفع نسخة vb نظيفه

====

ثغرة مركز رفع الملفات والصور:

الثغرة متواجده في مراكز التحميل الملفات والهاكات التحميل بـ المنتديات الvb وغيرة وهـي أمتداد (3gp) تمكن المخترق من رفع ****l.php.3gp

وهذه الـشيل يمكن من أختراق الموقع + احتمال السيرفر بالكامل

وثغرات مركز التحميل بالامتدادات التالية: rar & jpg & gif & 3gp

ترقيع الثغرة انك تفتح المفكرة :: وتحط فيها هذه الكود:

RemoveType .php .php3 .phtml .pl .cgi .rar .jpg .3gp .gif .asp

وتحفظه باسم: .htaccess

وتـرفعه على نفس مجلد المركز التحميل من الاف تي بي FTP طبعا وللعلم

لن تستطيع أن تسمى ملف .htaccess ولكنك ستجعله htaccess.txt وترفعه بالاف تى بى

وتعيد تسميته الى .htaccess بالاف تى بى

======

ثغرة uploader.php

ولو أننى أرى مركز التحميل بالكامل كله مشاكل

ولكن هذه طريقة الترقيع

قم بفتح ملف uploader.php وابحث عن السطر التالي

$type = explode("." ,$file_name);

و إستبدله بـ

$type = explode("." ,$file_name,2);

======

ثغرة showgroups.php

أفضل حل لترقيع هذه الثغره العنيده هو إستبدال محتوى ملف showgroups.php

بالكامل بمحتويات ملف index.php

حيث أنها ليست لها فائده سوى إظهار رتب الاعضاء وضررها أكثر من نفعها

======
ثغرة الارشيف

اولا :

قم بعمل جدار ناري علي مجلد الارشيف بمنتداك

ثانيا :
من لوحة تحكم المنتدى
خيارت المنتدي
محرك بحث الأرشيف
Forum Archive Enabled

خليها لا


======
شياً اخر احب ان الفت النظر اليه طبعا اغلبنا لا يقبل اى اضافات على ايميله الا اشخاص انت قد اعطيتهم ايميلك

وربما بل تحدث كثيراً انك تقوم باضافة اى عضو عندك فى المنتدى او مشرف الخ...

وتكونو تتحدثو على الماسنجر ويطلب منك او يقول لك اعطى رابط موضوع كذا ويحدد لك موضوع

تذهب انت للموضوع وترسل له الرابط هل تعلم انك بذلك ارسلت له الباسوورد الخاص بك ؟

طبعاً انت متعجب الان وتقول كيف ذلك انا لن اذكر اين الباسوورد بالتحديد ولكن اكتفى بان اقول لك

ان الباسوورد بيكون فى الرابط بس طبعا مشفر md5 وطبعا برامج فك الهاش كثيره

فاحذر كل الحذر بصفتك صاحب منتدى ان يطلب منك رابط موضوع وترسله الا اذا كنت تثق فى من طلب منك ذلك

والا تكون قد ارسلت بموقعك الى الهلاك
=======

اعذرونى والله كنت ناوى اخلى الدرس اكبر من ذلك ولكن المرض يمنعنى

اتمنى دعوة خالصه فى ظهر الغيب لى بالشفاء

اى استفسار او سؤال عن الشرح انا مستعد

الدرس القادم ان شاء الله عن سد ثغرات سرفة الكـوكـيز من الادمن والدخول بها وسد ثغرات بعض السكربتات

المهمه الخ..

تحياتي للجميع