بسم الله الرحمن الرحيم
الحمد لله الذي أنعم علينا بنعمة العلم والذي بإذن الله سيكبر ولكن ليزيدك الله من العلم علم غيرك ما علمك الله
وان كان فيه شر كالهكر مثلاً فلا تخبر به وانما أخبر بكيفية الحماية منه وهذا ان شاء الله ما سنأخذه بهذا الدرس
والذي أتمنى لكل من يملك أي معلومة فلا يبخل على اخوانه المسلمين وليتذكر بأن كل ما سيذكره لاخونه
المسلمين انما هو زيادة لعلمه وسيزيد من محبة الناس له واحترامهم اياه والأهم والأعظم من هذا هي محبة الله
وهي المحبة التي يتمنى كل عبد مسلم أن يحصل عليها
في الحقيقة طولت عليكم في المقدمة
ولكن هذا ما يجب ان يعلمه كل شخص
==-================================================== ====
آيات وأحاديث مهمة أحببتها جدا وكانت سبب في هدايتي ان شاء الله وان شاء الله تعجبكم
والباب مفتووح لجميع الهكر بالمساعدة والكل يرحب بهم مهما أخطأوا فهم أخواننا
ونحن نسامحهم ونرحب بهم ولا نكذب عليكم فالكل يخطئ حتى أنا كنت من المخطئين
فقد تسببت في تلغيم الكثير من المواقع في نهاية عام 2004 وأعتذر الى كل من تأذى
وها انا أدرس وأكابد في سبيل تعليم الكل كيف تحمي موقعك وفضح الأسرار ان شا الله:-
قال تعالى : ( فوق كل ذو علم عليم )
قال صلى الله عليه وسلم : (( من كتم علما بغير حق لجمه الله بلجام من نار يوم القيامة ))
وهذا موضوع جميل للأخ أسامة الخطاب حول هذا الموضوع :
http://www.3asfh.net/vb/showthread.php?t=29296
================================================== ===
بسم الله
نبدأ في تكملة موضوع الحماية
لقد تكلمنا في موضوعنا الأول عن معظم الثغرات وتعمقنا فيه كثيرا وهذا الرابط :
http://www.arabwebtalk.com/showthread.php?t=27857& page=1
ثم حاولنا أن نخمن ونكتشف ونتابع حيل الهكر فتكلمنا عنه في الموضوع الثاني على الرابط التالي :
http://www.arabwebtalk.com/showthread.php?t=29096
وها نحن نكمل السلسلة بموضوعنا الثالث والذي سيكون من أكبر المواضيع
ان شاء الله والكاتب هو : جميع المسلمين في انحاء العالم وليس أنا فقط
===============================================
الموضوع : مناقشة مواضيع الحماية هنا فقط ( مثبت ) وقابل للتطوير من قبل الجميع
بدأتث تظهر الكثير من الثغرات وتتزايد الاختراقات يوما بعد يوم
بل إنه ظهر الكثير من الهكر المبتدئين من شهرين وتعلموا كم ثغرة
وبدأوا يطبقون على المواقع العربية للأسف أو بمعنى أصح المنتديات العربية
وذلك لأنها لا تعتمد على أي من خبرتهم وانما هي عبارة عن سكريبتات لتطي
السيف مود أو بمعنى أصح الدوال المحمية بالسيرفر
وهي لا تسمح بالدخول وتغيير ملفات الموقع
وانما هي تسمح بقراءة ملف config.php
وبعدها يتصلون بقاعدة البيانات عن طريق سكريبت
Mysql
ثم يعملون أحد خطوتين
1- تغيير تمبلت فورم هوم
وهي أن يبحث في جدول templet
ويبحث عن Forumhome
ثم يقوم بمسح كل ما فيه ثم يكتب
Owned By name
أو
Hacked By name
ثم يروح ويسجل بالزون اتش
وهو في الحقيقة لم يستطع الدخول الى موقعك أصلاً
وانما قام بالدخول لقاعدة البيانات فقط
أما الخطوة الثانية اذا ما عمل الأولى
يستعرض ملف الكونفيق للمنتدى
ثم ياخذ يوزر القاعدة وباسوردها
ثم يتصل بالقاعدة عن طريق سكريبت Mysql
ويدخل على جدول user
وراح تطلع له عضويات المنتدى والغلب العشر عضويات الأولى
طبعا المخترق راح يدخل على العضوية رقم 1
ويغير الاسم
ويغير الايميل
أما خانة كلمة المرور
فيتركها فارغة
الحين طلع له معلومات العضوية الأدمنيه
الحين يتوجه للرابط التالي :
www.site.com/vb/admincp
وبعضهم يغيرون اسم الـ Admincp الى أي اسم ثاني
راح يدخل الهكر بالعضوية في المنتدى عادي
ثم ينزل آخر المنتدى راح يلقى كلمة المشرف العام بيضغط عليها وبتوصله للوحة التحكم
حتى لو سماها gfdsghsjfghsajghs
طيب لو كانت محذوفة من الاستايل يعني ما في كلمة المشرف العام كيف يوصل ؟؟؟
راح يستعرض الكونفيق عبر الشيل اللي تخطى فيه دوال السيرفر
ثم بيلقى في الكونفيق عنون لوحة تحكم المشرف العام اللي انت حاطها بالكونفيق
طيب لو شفرت الكونفيق ؟؟
ما راح يقدر يخترق ؟؟؟
الحين أي مبرمج php لو تفهمه الفكره ويحاول يدرسها يقدر يطلع معلومات الكونفيق حتى لو كان مشفر
والحين بعض الهكر عرفوا طريقة برمجة الملف وعملوه وبدأوا يتخطون التشفير للأسف !!
طيب لو كان ملف admincp او أي اسم ثاني محمي بجدار ناري ؟؟؟؟
ياخوي فيه أمر بسيط يستعرض ملف .htpasswds
اللي يكون فيه معلومات دخول جميع الجدران النارية بموقعك
وراح يخترق المنتدى
طبعا الحين فهمتكم الفكرة طيب الذكي بعد ما قرأ الفكرة وفكر فيها
السؤال كيف سنحمي منتدانا أو موقعنا أو بمعنى أصح كيف نحمي السيرفر من تخطي دواله ؟؟
اكتشفنا الحين ان موقعك محمي 100% وما عليه أي كلام لكن المشكلة بالسيرفر وليس الموقع
لأنهم بيتخطوا دوال السيرفر أو مثل ما يسميه بعض الهكر ( تخطي سيف مود )
إذا كيف نحمي السيرفر ندعوا جميع أصحاب السيرفرات لمتابعة هذا الموضوع
تابعوا مواقع الحماية الأجنبية بتلقون فيها سكريبتات لتخطي السيف مود
وراح تلقون الدالة اللي يتخطون فيها السيف مود والدالة اللي كانت متواجدة
هي
copy()
وتم تطوير الشيلات من قبل مبرمجين مسلمين وعربيين وتقويتها
طبعا الشيل يستخدم دالة معينة أو أكثر من دالة للاختراق وتخطي الدوال الأخرى
طيب لو عرفنا مثلا ان شيل copy.php
يتخطى السيف مود ودوال السيرفر عبر الدالة copy()
وأيضا مجموعة من الدوال الأخرى كيف راح نمنع الشيل من العمل على السيرفر
يعني نسوي له ترقيع ؟؟؟
لازم تحذر مستضيفك أو صاحب السيرفر أو من يملك سيرفر
يدخل على الرووت ثم يدخل ملف php.ini ويمنع الدوال التي من خلالها الشيل
يتخطى السيف مود ولو افترضنى ان نبي نسوي ترقيع لشيل الـ copy.php
ندخل php.ini ونمنع الدالة copy()
وبعدها لن يعمل الشيل وبذلك أصبح السيرفر محمي من هذا الشيل
وأنا وفرت عليكم عناء البحث والتحليل
وان شاء الله يكون ما توصلت اليه هو الحل ان شاء الله
فقد قمت بتحليل جميع الشيلات الحديثة وقمت بتحليل الكثير من الشيلات
وهذه الدوال التي أعتقد ان منعتها بالسيرفر فستكون محمي من شيلات تخطي السيف مود
لهذا الوقت وقد ينزل شيل آخر وسأقوم بوضع ترقيعه (دواله) بهذا الموضوع
فهو موضوع متجدد بإذن الله
وكل من يملك معلومة أو دوال جديدة فأتمنى ألا يبخل على اخوانه المسلمين
وهذه الدوال التي يجب عليك أن تمنعها بالسيرفر لتحصل على حماية كافية بإذن الله :
dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, hell-exec, fpassthru, exec, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, php_uname, phpinfo, copy
ولقد حضرت لكم مجموعة كبيرة من الدوال التي أتمنى من أصحاب السيرفر رؤية المكررة منها
وتحليلها لأنها من سيرفرات مختلفة وأظن أنها تحتوي على دوال مكررة لذلك حاولوا
أن تمحوا الدوال المكررة وشكراً
الدوال بالمرفقات