[SecurityWay]

إقتباس: اقتباس من مشاركة Hunter      السلام عليكم اخي عبدالله الامر هين بلا يوزرين ولا تعب فقط تغيير بورت الشل SSH من 22 الى اي رقم اخر ان شاءالله رقم جوالك كمثال 34354 وين بيعرفه اذن هنا حمينا الشل وهو الاهم لانه باتسطاعته يفرمت السيرفر وياخذ نسخه من الباك اب وال VAR وغيره اما ال WHM يامكانه ايضا حمايتها بمحادثه السبورت بالهوستنق وتغيير المنفذ للي يبيه من 2086+2087 الى اي شي اخر ونأخذ كمثال ناشر نت 2222 وغيرهم يعني نحط مثلا 100030 <--------- ماعتقد يبخمنه المخترق لكونه يبمل ويقول ندور غيره وايضا للحمايه الكليه للسيرفر فرضا عندك 30 موقع ماتقدر تشيك عليهم يوميا وش رفعو من ملفات والبغيه هي البحث عن ملفات الShell فالمخترق ليس بالغباء ليترك اسم الملف shell.php اذن نبحث عن كلمة shell بالامر التالي تحت محث cd /home grep | -b "shell" لتحصل على اي ملف مكتوب في هالكلمة بسيرفرك وتحذف الملف وتقاضي صاحب الموقع انتهى وهي توضيح بسيط اكمالا لما قاله الاخ عبدالله

السلام عليكم

ملوحوظه فقط :

-يستطيع الشخص معرفة البورت الخاص بالشل حتى وان تم تغييره الى مليون رقم , أبسط شيء يقوم ب Port scan كمثال بال Nmap وسوف يجد البورت .

- البورتات 2086 والبورتات 2087 بورتات مبرمجة داخليه اي Hard coded لا يمكن تغييرها أبدا وهي خاصه بال WHM .

-بالنسبة للبورت 2222 فهو البورت الخاص بلوحة التحكم DA "Direct Admin"

-بالنسبة لملفات ال Shell فيمكن التغلب على اكثر بتفعيل safemode & Suexec كما يمكن أيضا جعل السيرفر Chrooted وبهذه الطريقة تبطل عمل اي php script سواء php or cgi / pl

كما ان هذه السكربتات يجب وان تعتمد على أحد الدوال مثل : exec , system , loop , shellexec

اذا قمت بوضع الدوال الخطره في ملف php.ini وقمت بعمل disable لها فسياسعد ايضا .

-فيه برمجيات ترسل لمدير السيرفر تقرير يومي باي ملف تم رفعه او حذفه او اي دخول بالشل او من لوحة التحكم والايبي والوقت ونوع الملف ويتعرف على الملف اذا كان بداخله فيروس او عباره عن اكسبلويت (Anti-local exploits)

وهناك الكثير على القائمة ليتم عمله .

طبعا مع الادارة الجيده للسيرفر والمتابعة المستمره سوف يكون كل شيء على ما يرام ان شاء الله .


تحياتي لكم ,