|
مناقشة مواضيع الحماية هنا فقط ( مثبت ) وقابل للتطوير من قبل الجميع
المرفقات 1
بسم الله الرحمن الرحيم الحمد لله الذي أنعم علينا بنعمة العلم والذي بإذن الله سيكبر ولكن ليزيدك الله من العلم علم غيرك ما علمك الله وان كان فيه شر كالهكر مثلاً فلا تخبر به وانما أخبر بكيفية الحماية منه وهذا ان شاء الله ما سنأخذه بهذا الدرس والذي أتمنى لكل من يملك أي معلومة فلا يبخل على اخوانه المسلمين وليتذكر بأن كل ما سيذكره لاخونه المسلمين انما هو زيادة لعلمه وسيزيد من محبة الناس له واحترامهم اياه والأهم والأعظم من هذا هي محبة الله وهي المحبة التي يتمنى كل عبد مسلم أن يحصل عليها في الحقيقة طولت عليكم في المقدمة :D ولكن هذا ما يجب ان يعلمه كل شخص ==-================================================== ==== آيات وأحاديث مهمة أحببتها جدا وكانت سبب في هدايتي ان شاء الله وان شاء الله تعجبكم والباب مفتووح لجميع الهكر بالمساعدة والكل يرحب بهم مهما أخطأوا فهم أخواننا ونحن نسامحهم ونرحب بهم ولا نكذب عليكم فالكل يخطئ حتى أنا كنت من المخطئين فقد تسببت في تلغيم الكثير من المواقع في نهاية عام 2004 وأعتذر الى كل من تأذى وها انا أدرس وأكابد في سبيل تعليم الكل كيف تحمي موقعك وفضح الأسرار ان شا الله:- قال تعالى : ( فوق كل ذو علم عليم ) قال صلى الله عليه وسلم : (( من كتم علما بغير حق لجمه الله بلجام من نار يوم القيامة )) وهذا موضوع جميل للأخ أسامة الخطاب حول هذا الموضوع : http://www.3asfh.net/vb/showthread.php?t=29296 ================================================== === بسم الله نبدأ في تكملة موضوع الحماية لقد تكلمنا في موضوعنا الأول عن معظم الثغرات وتعمقنا فيه كثيرا وهذا الرابط : http://www.arabwebtalk.com/showthread.php?t=27857& page=1 ثم حاولنا أن نخمن ونكتشف ونتابع حيل الهكر فتكلمنا عنه في الموضوع الثاني على الرابط التالي : http://www.arabwebtalk.com/showthread.php?t=29096 وها نحن نكمل السلسلة بموضوعنا الثالث والذي سيكون من أكبر المواضيع ان شاء الله والكاتب هو : جميع المسلمين في انحاء العالم وليس أنا فقط =============================================== الموضوع : مناقشة مواضيع الحماية هنا فقط ( مثبت ) وقابل للتطوير من قبل الجميع بدأتث تظهر الكثير من الثغرات وتتزايد الاختراقات يوما بعد يوم بل إنه ظهر الكثير من الهكر المبتدئين من شهرين وتعلموا كم ثغرة وبدأوا يطبقون على المواقع العربية للأسف أو بمعنى أصح المنتديات العربية وذلك لأنها لا تعتمد على أي من خبرتهم وانما هي عبارة عن سكريبتات لتطي السيف مود أو بمعنى أصح الدوال المحمية بالسيرفر وهي لا تسمح بالدخول وتغيير ملفات الموقع وانما هي تسمح بقراءة ملف config.php وبعدها يتصلون بقاعدة البيانات عن طريق سكريبت Mysql ثم يعملون أحد خطوتين 1- تغيير تمبلت فورم هوم وهي أن يبحث في جدول templet ويبحث عن Forumhome ثم يقوم بمسح كل ما فيه ثم يكتب Owned By name أو Hacked By name ثم يروح ويسجل بالزون اتش وهو في الحقيقة لم يستطع الدخول الى موقعك أصلاً وانما قام بالدخول لقاعدة البيانات فقط أما الخطوة الثانية اذا ما عمل الأولى يستعرض ملف الكونفيق للمنتدى ثم ياخذ يوزر القاعدة وباسوردها ثم يتصل بالقاعدة عن طريق سكريبت Mysql ويدخل على جدول user وراح تطلع له عضويات المنتدى والغلب العشر عضويات الأولى طبعا المخترق راح يدخل على العضوية رقم 1 ويغير الاسم ويغير الايميل أما خانة كلمة المرور فيتركها فارغة الحين طلع له معلومات العضوية الأدمنيه الحين يتوجه للرابط التالي : www.site.com/vb/admincp وبعضهم يغيرون اسم الـ Admincp الى أي اسم ثاني راح يدخل الهكر بالعضوية في المنتدى عادي ثم ينزل آخر المنتدى راح يلقى كلمة المشرف العام بيضغط عليها وبتوصله للوحة التحكم حتى لو سماها gfdsghsjfghsajghs طيب لو كانت محذوفة من الاستايل يعني ما في كلمة المشرف العام كيف يوصل ؟؟؟ راح يستعرض الكونفيق عبر الشيل اللي تخطى فيه دوال السيرفر ثم بيلقى في الكونفيق عنون لوحة تحكم المشرف العام اللي انت حاطها بالكونفيق طيب لو شفرت الكونفيق ؟؟ ما راح يقدر يخترق ؟؟؟ الحين أي مبرمج php لو تفهمه الفكره ويحاول يدرسها يقدر يطلع معلومات الكونفيق حتى لو كان مشفر والحين بعض الهكر عرفوا طريقة برمجة الملف وعملوه وبدأوا يتخطون التشفير للأسف !! طيب لو كان ملف admincp او أي اسم ثاني محمي بجدار ناري ؟؟؟؟ ياخوي فيه أمر بسيط يستعرض ملف .htpasswds اللي يكون فيه معلومات دخول جميع الجدران النارية بموقعك وراح يخترق المنتدى طبعا الحين فهمتكم الفكرة طيب الذكي بعد ما قرأ الفكرة وفكر فيها السؤال كيف سنحمي منتدانا أو موقعنا أو بمعنى أصح كيف نحمي السيرفر من تخطي دواله ؟؟ اكتشفنا الحين ان موقعك محمي 100% وما عليه أي كلام لكن المشكلة بالسيرفر وليس الموقع لأنهم بيتخطوا دوال السيرفر أو مثل ما يسميه بعض الهكر ( تخطي سيف مود ) إذا كيف نحمي السيرفر ندعوا جميع أصحاب السيرفرات لمتابعة هذا الموضوع تابعوا مواقع الحماية الأجنبية بتلقون فيها سكريبتات لتخطي السيف مود وراح تلقون الدالة اللي يتخطون فيها السيف مود والدالة اللي كانت متواجدة هي copy() وتم تطوير الشيلات من قبل مبرمجين مسلمين وعربيين وتقويتها طبعا الشيل يستخدم دالة معينة أو أكثر من دالة للاختراق وتخطي الدوال الأخرى طيب لو عرفنا مثلا ان شيل copy.php يتخطى السيف مود ودوال السيرفر عبر الدالة copy() وأيضا مجموعة من الدوال الأخرى كيف راح نمنع الشيل من العمل على السيرفر يعني نسوي له ترقيع ؟؟؟ لازم تحذر مستضيفك أو صاحب السيرفر أو من يملك سيرفر يدخل على الرووت ثم يدخل ملف php.ini ويمنع الدوال التي من خلالها الشيل يتخطى السيف مود ولو افترضنى ان نبي نسوي ترقيع لشيل الـ copy.php ندخل php.ini ونمنع الدالة copy() وبعدها لن يعمل الشيل وبذلك أصبح السيرفر محمي من هذا الشيل وأنا وفرت عليكم عناء البحث والتحليل وان شاء الله يكون ما توصلت اليه هو الحل ان شاء الله فقد قمت بتحليل جميع الشيلات الحديثة وقمت بتحليل الكثير من الشيلات وهذه الدوال التي أعتقد ان منعتها بالسيرفر فستكون محمي من شيلات تخطي السيف مود لهذا الوقت وقد ينزل شيل آخر وسأقوم بوضع ترقيعه (دواله) بهذا الموضوع فهو موضوع متجدد بإذن الله وكل من يملك معلومة أو دوال جديدة فأتمنى ألا يبخل على اخوانه المسلمين وهذه الدوال التي يجب عليك أن تمنعها بالسيرفر لتحصل على حماية كافية بإذن الله : dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, hell-exec, fpassthru, exec, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, php_uname, phpinfo, copy ولقد حضرت لكم مجموعة كبيرة من الدوال التي أتمنى من أصحاب السيرفر رؤية المكررة منها وتحليلها لأنها من سيرفرات مختلفة وأظن أنها تحتوي على دوال مكررة لذلك حاولوا أن تمحوا الدوال المكررة وشكراً الدوال بالمرفقات |
تكملة للموضوع ...
المرفقات 1
كيف تعرف الدوال المحجوبة بالسيرفر ؟؟؟ قمت بالتعديل على أحد السكريبتات ونزعت منه الأكواد الخطرة وجبته لكم ما فائدة السكريبت ؟؟ يظهر لك حالة السيف مود بالسيرفر ويظهر لك الدوال المحجوبة بالسيرفر تأكد بأن : Safe Mode : ON والدوال المحجوبة مطابقة للدوال التي أرسلتها لكم السكريبت في المرفقات بعد الحصول على المعلومات احذف السكريبت من موقعك |
موضوع رائع بحق وأشكرك جزيل الشكر أخي الفاضل وأمل أن أرى حديث الخبراء بهذا الخصوص خصوصآ أصحاب السيرفرات ;)
لكن يا عزيزي سلطت الضوء على تخطي السيف مود وإستخدام دوالة تخريبآ ولم تلقي بالاً لبرمجية الفيبولتن من الأساس !! فكما ترا الأمر برمته يعتمد على برمجية الـphp وتعريف دوالها وأوامرها وصدقني لو أن احد اطفال الهاكرز تعمد الدخول بعالم الـphp لوجد مئات الثغرات منها كتابة اوامر تنفيذ الحدث ! ايضآ الأمر يشمل خاصية الهوك الي من خلالها يتم إدخال سكربتات الـphp بداخل قاعدة البيانات لكي يتم تنفيذها بأسطر محدده ماذا لم قام أحد الأطفال بكشف احد الهاكات التي تزرع بالقاعدة كيف سنصل لها ونعطلها ؟؟ ,, وإيضا أصبح الوصول إلى قاعدة البيانات سهل ,,, ومعروف بإن لوحة المنتدى توجد في قاعدة البيانات في جدول datastore اليس سهلآ على الطفل العبث من ورائنا !! وحتى لو منعنا الوصول إلى القاعدة وحجبنا الدالات من السيرفر وماإلى ذلك يوجد سكربت لدي الهكر الطفل (العقرب الأحمر) لا يعترف بإسم وباسورد القاعدة بل يقوم بتحريرها يدوياً حسب ما ذكر لي أحد الأصدقاء !!! اسئلة كثيره تبحث عن حلول :rolleyes: . خالص الشكر والتقدير إليك يا أخي الفاضل دمت بعافية :) |
إقتباس:
حياك الله بالموضوع انت حسب كلامك فهمت خطوتين وهي انك : 1- تظن بأن برمجيات الـ vBulletin مصابة بالثغرات . 2- تظن بأن سكريبتات الـ php تستطيع تخطي السيف مود . الجواب : هل تعلم أن سكريبتات الـ php تعتمد على الدوال في العمل !! وهل تعلم بأني أستطيع ايقاف سكريبت المنتدى كامل بإيقاف دالة واحدة معينة !! وهل تعلم أن الموضوع الذي تكلمنا عنه هو يتكلم عن كيفية حماية أنفسنا من سكريبتات الـ php التي تتخطى السيف مود !! ياخوي ان سكريبت الـ php يعتمد على الدوال في تخطي السيف مود وهو يعمل بالأصل عبر الدوال ولتمنعنه يجب عليك حجب الداله التي يعبر من خلالها والاستغناء عن السكريبتات التي تعمل بنفس الدالة في سبيل الحماية وبالنسبة للعقرب الأحمر اللي تقول انه يدخل ويحرر القاعدة !! ياخوي هذا كلام غير صحيح أبداً ولو كان الكلام الذي تقوله صحيح اذاً فلماذا لم يخترق الويب العربي نفسه ؟!! اذاً لماذا لم يخترق ترايدنت ؟!! ياخوي كله كلام فاضي من أجل التشهير لا غير وهم ليسوا أصحاب خبرة وانما بعتمدون على سكريبتات أجنبية لتخطي السيف مود وقسم بالله انه لا يوجد الى الآن أي سكريبت عربي للشيل برمجة عربية كاملة بل كلها من مواقع أجنبية وعاملين عليها شوي زبركة بالـ html والله أعلم ! وقبل فترة لقيت موضوع بترايدنت يتكلم عنه لأنه كاتب في الماسنجر تبعه على حسب قول أحد أعضاء ترايدنت بأنه مخترق ترايدنت وهذا كلام غير صحيح وانما كله كذب × كذب وهو محاولة للتشهير فقط والله أعلم وأعدوا العقرب الأحمر نفسه الى الموضوع هذا اذا كان عنده شي عن الحماية لا يبخل على اخوانه لأنه كان من المتضررين حيث ان موقع العرب الأحمر أخترق من أسبوع أو اثنين وندعوه لمشاركتنا الحوار وعفا الله عما سلف :) |
مرحبآ من جديد
وشكرآ على ردك وعذرا على الرد السابق الغير مفهوم (العجله تخطي لا تصيب) :( إقتباس:
1 - نعم يوجد في برمجيات الفيبولتن عدد كبير من الثغرات قليل منها معلوم وكثير منها مجهول ويا أخي الكريم لو تتأمل قليلآ برمجية الفيبولتن من الأساس لترا انها تعتمد على الدوال المعرفه من قبل الشركة وأي شخص ملم ببرمجة الـphp يستطيع سرد قائمة طويله من الثغرات (( وأنا اتكلم من مبرمجين حقيقيين للـphp وليس عن مصممي HTML الذين يعتقدون ان "التاقز" هي برمجية PHP !!) وشخص بخبرتك الوافرة يعلم أن اوامر موجهات (do=something) هي ثغرة بحد ذاتها !! 2 - اما عن سكربتات php (الشل وغيرها) , فيا أخي الكريم لقد تخطينا مرحلة اثبات تخطيها للسيف مود وكان الحل (بحجب الدوال ) رغم انه حل مؤقت وضار ولو أستمرينا بحجب دالة ورا الأخرى لما بقى لنا من اوامر نستطيع أدارة السيرفر بها !! :rolleyes: إقتباس:
لكن عملة فقط استخدام سكربتات توصله للقاعدة وغرضه مادي بحت !! أرجع وأقول حجب دوال السيرفر حل غير كافي !! شكرآ :) |
هلا أخوي مشكوور على الحوار الممتع معك
بالنسبة للفيبولتين فثغراتها لا تسبب أي خطر ان كان السيرفر محمي ومن ثغراتها : XSS طبعا هذي الثغرة ما أعترف فيها واظن بأنه من المفروض ألا تسمى ثغرات لأنها تجعلك تدخل بعضوية المدير العام دون استطاعة تغيير البريد الالكتروني أو كلمة المرور أو حتى دخول لوحة تحكم المشرف العام فلا خطورة ترجى منها سوا فك تشفير كلمة المرور وطبعا لا تستطيع برامج فك التشفير فك كلمات المرور الصعبة والمعقدة . وبالنسبة لثغرة العقرب الأحمر فهي تسمح باستعراض شيل أليس كذلك ؟؟ ماذا لو استعرض شيل والدالة التي يستعملها الشيل محجوبة بالسيرفر إذا فلن يعمل الشيل ولا تفيد الثغرة بأي شيئ خاصة اذا كان ملف الـ VB ترخيصه 751 =-=-=-=-=-=-=-=-=-=-=-=-= وبالنسبة لعبارة do=something ياخوي هذا الحسب البرمجة ومن المستحيل أن تلقى مثل هذي الثغرة البسيطة التي تصيب البرمجيات المبتدئة فقط لأن برمجيات الفيبولتين تقوم بعمل أكواد مضادة لأي أكواد مداخلة أو خارجية بحيب تستدعي اكواد داخلية فقط وقد حاول الكثير من خبراء الـ php استخراج منها ثغرة ولم يفلح أي منهم الى الآن . وبالنسبة للدوال أنا معك بأنه الى متى ونحن نحجب الدوال ؟؟ ولكن لا يوجد حل غيره لأنه لايمكنك ايقاف عمل سكريبت php معين إلا بالدوال أليس كذلك ؟؟ أم لديك جواب آخر اذا كان لديك جواب آخر فضعه وسنقوم نحن بمساعدة الخبراء تحياتي لك أخوي أخوكم في الله حسين |
مشكوور أخوي على الموضوع المهم
أخوي ممكن تشرح لي الطريقة وين أحطي الدوال الممنوعة في هذا الملف + وكيف الطريقة في كتابتها فيه : مثل ما قلت : إقتباس:
إقتباس:
|
هلا أخي العزيز بارك الله فيك !!
الطريقة كالآتي :- ادخل على حساب الرووت بالسيرفر واستخدم الأمر : pico /usr/local/lib/php.ini بعدها ابحث عن : disable_functions أضف الدوال بعدها ثم اكتب الأمر httpd restart وان شاء الله كل شي بيمشي تمام وان أردت أي نصائح بخصوص سيرفرك يرجى الاضافة على البريد التال : AWT@3bqry.net |
مشكور على الموضوع المهم
|
العفو أخوي حياك الله وتم النقل الى القسم المناسب
|
السلام عليكم ..
أخـى الحبيب تفضلت مشكورا باطلاعنا على الدوال التى يجب اغلاقها على السيرفر المضيف و لكنى أتساءل ما هى الدالة التى عند اقفالها تمنع عمل الشيل على الموقع سواء كان C99 أو R57 و هل عند اقفال هذة الدالة تتسبب بعدم عمل سكريبتات اخرى على الموقع ؟ شكرا لك |
السلام عليكم
أنا منتسبٌ جديد إلى هذا المنتدى الذي هو بمثابة الأسطورة بحد ذاته وباللغة العربية القائم على أشخاص أدعو لهم بأن يعلمهم الله ويعلمنا مالانعلمه بعد .. بالنسبة لموضوعك أخي الكريم GENIUS فقد أعجبني جداًَ ، وأعجبني مستوى الحوار البناء الذي أتمنى أن يستمر وقمت بالرد عليه لأستقبل آخر التطورات والاكتشافات التي أتوقع أن تصلوا إليه ، ونستفيد منها سوياً ... أخوكم من سوريا الكوماندر |
إقتباس:
هلا أخي العزيز أولا : سكريبت C99 يحتوي على كثير من الدوال وبايقاف كل دالة فأنت توقف عمل السكريبت لذلك فيفضل ايقاف الدوال الخطرة فقط لأن به دوال تستخدمها السكريبتات وأنا وضعت على سبيل المثال الدالة : phpinfo وهي تمنع شيل C99 و R57 من رؤية وقراءة معلومات اصدارة الـ php بالسيرفر وأيضاً دالة : php_uname التي تمنع الشيللين من رؤية اصدارة الكيرنال ومعلومات السيرفر وهكذا ... |
إقتباس:
حياك الله ان شاء الله تستفيد وننتظر مواضيعك وتفيدنا بشي من خبرتك والله يزيدنا من فضله بإذن الله |
وهذي دوال جديدة أتمنى اياقفها وشكراً
error_log() المصدر : http://securityreason.com/news/0/0x1a tempnam() المصدر : http://securityreason.com/news/0/0x19 curl_init curl_exec المصدر : http://securityreason.com/achievement_securityaler t/39 |
مشكور ,
وماقصرت بس كيف نغلق الدوال ؟؟ لأني دورت disable_functions ومالقيتها !! يعطيك العافيه |
هلا أخي العزيز
هذا الرد يوضح الطريقة http://www.arabwebtalk.com/showpost.php?p=187099&p ostcount=8 وشكراً |
السلام عليكم و رحمه الله و بركاته
هذه اول مشاركه لى فى المنتدى و احيى اخوى ^*GENIUS*^ على هذا الموضوع الرائع جدا و احب اضيف الى كلامه و هو شئ مهم جداا فى حمايه السرفرات ال mod_security و هو عباره عن module للويب سيرفر "apache" و هو فعلا اداه رائعه جداااااا للحمايه من ثغرات المتصفح بجميع انواعها و ثغرات المنتديات و حتى ايضا من الثغرات ال command execution و هى اداه فعلا اذا تم عمل اعداد لها بشكل جيد و صحيح فهى تؤمن الحمايه الكامله للسرفر و توفر عناء سد ثغرات المنتديات فى السرفر و بالنسبه لقواعد ال mod_security فيمكن كتابتها يدويا اذا كان مدير السرفر يمكنه ذلك او بالحبحث فى الانترنت فهناك مواقع تعرض الكثير من القواعد المفيده جدااا و المهمه للmod_security ارجو انى اكون وضحت نقطه مهمه فى عالم الحمايه لمديرين السرفرات شكرا |
وعليكم السلام ورحمة الله وبركاته
الله يحييك أخوي تسلم يا غالي على هالاضافة وهذي معلومات عنه وطريقة التركيب : http://www.traidnt.net/vb/showthread.php?t=165582 أخوك حسين |
 |
| جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 02:06 AM. |
Powered by vBulletin
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012