لحماية أفضل لمنتداك

[ريمه الخاني]

السلام عليكم ورحمة الله وبركاته
نقلا عن منتدى خفايا الروح
نقلنا موضوع للمهتمين

عن العضو متامل


لحماية أفضل لمنتداك

في البداية

ثغرات في المجلدات admincp و includes و modcp و install و طريقة ترقيعها

طريقة حماية هذه المجلدات سهلة جدا

من السى بانل نختار هذه الصوره والضغط عليها بالماوس



بعدها سيظهر لك مجلدات الموقع حدد مجلد المنتدى

طبعا على حسب المنتديات وحسب تسميتها بعضها والأغلب vb

[ريمه الخاني]

نقوم بالضغط على صوره المستند ولييس الكتابه التي بجانبه



ستفتح لك صفحه اخرى اختر المجلد المطلوب حمايته .. المطلوب مثلا مجلد الادمن (( طبعا نحمي ثلاث مجلدات الادمن والانكلود وحق المشرفين ))

[ريمه الخاني]

نقوم بالضغط على الكلمه ستفتح صفحه نضع صح داخل المربع



بعدها ستظهر صفحه اخرى اضغط جو باك


انزل لاسفل املأ البيانات كما هو موضح بالصوره



تقوم بذلك مع المجلد الجديد للادمن والمجلد القديم الفارغ

[ريمه الخاني]

أهم شيء احميها باسم مستخدم و كلمة مرور
و مجلد install الأفضل أن تحذفه بالكامل و عند التطوير تضع مجلد النسخة الجديدة و تسوي install عادي و هذا يرجع لك المهم إما حماية مجلد install أو حذفه و مجلدي admincp و modcp إذا كان يمكن للهاكر تعدي الحماية و اختراقهم فيمكنك بدلا من أن تحميهم أن تغير اسمهم إلى أي اسم مثل ABDFVadmincp حتى لا يعرف المخترق امتداد المجلد و لكن عند تغيير اسم المجلد يجب أن تذهب لملف config.php الموجود داخل ملجد include و تغيير اسمهم منه أيضا و الطريقة كالتالي:[/color]

افتح ملف config.php و ابحث عن الكود :



$admincpdir = 'admincp';




و غير اسم admincp إلى الاسم الذي اخترته من قبل للمجلد

و ابحث عن الكود التالي أيضا :



$modcpdir = 'modcp';




و غير اسم modcp إلى الاسم الذي اخترته من قبل للمجلد


[line]


الملفات موجودة بمجلد المنتدى الرئيسي :

قبل التعديل احفظ نسخه احتياطية

الملف الاول ملف

أخر 10 مواضيع

إبحث عن الداله التاليه


$fsel



و الداله التاليه


$ftitle




[blink]و إحذفهم[/blink]

[ريمه الخاني]

وهم يكونوا فى ملف ttlast.php
و إن لم تجدهم فيه فستجدهم فى ملف last10.php
انتهى الترقيع لثغرة اخر 10 مواضيع

[line]

2- ثغرة الرسائل الخاصه:

الترقيع للثغره :
فى ملف private.php

إبحث عن الكود التالى


// trim the text fields
$pm['title'] = trim($pm['title']);
$pm['message'] = trim($pm['message']);




و إستبدله بالاتى



// trim the text fields
$pm['title'] = trim(xss_clean($pm['title']));
$pm['recipients'] = trim(xss_clean($pm['recipients']));
$pm['message'] = trim($pm['message']);




انتهى الترقيع لثغرة الرسائل الخاصة

[line]

3- ثغرة ملف التعليمات

faq.php

الترقيع للثغره :

* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:


// initialize some template bits
$faqbits = '';
$faqlinks = '';




أضف بعدها مايلي:


$navbits[''] =$vbphrase['faq'];




أنتهى الترقيع في ثغرة faq.php

[line]

4- ثغرة

memberlist.php

أ- اذهب إلى لوحة تحكم منتداك
ب- من خيارات المنتدى اذهب للخيار (قوائم الأعضاء و مشاهدة الهوية) و قم بالضغط على الخيار ( لا ) في أول الصفحة و احفظ العمل

انتهى

[line]

ثغرة مركز رفع الملفات

اولا: الثغرة متواجده في المراكز التحميل الملفات والهاكات التحميل بـ المنتديات الvb وغيرة وهـي أمتداد (3gp) تمكن المخترق من رفع shell.php.3gp
وهذه الـشيل:::أختراق الموقع + احتمال السيرفر بالكامل
وثغرات مركز التحميل بالامتدادات التالية: rar & jpg & gif & 3gp nEw

يااانك تحذف المركز التحميل وتفتك او انك تفتح المفكرة :: وتحط فيها هذه الكود:


كود:
RemoveType .php .php3 .phtml .pl .cgi .rar .jpg .3gp .gif .asp
htaccess

وتـرفعه على نفس مجلد المركز التحميل من الاف تي بي FTP طبعا
وللعلم
لن تستطيع أن تسمى ملف .htaccess ولكنك ستجعله htaccess.txt وترفعه بالاف تى بى
وتعيد تسميته الى .htaccess بالاف تى بى

انتهى

[line]

ثغرة ملف

editpost.php

الترقيع للثغره :
*قم بفتح ملف editpost.php وابحث عن السطر التالي


$edit['title'] = trim($_POST['title']);




وسوف تجدها مرتين

إستبدلهم بالسطر التالى


$edit['title'] = trim(xss_clean($_POST['title']));




انتهى

[line]

ايضا

اذا كنت مفعل خاصية الفلاش بمنتداك قفل هذي الخاصية + خاصية الــ html وتلقاها في خيارات المنتدى واما اي html ضع No

من الثغرات أيضاُ

أخذف صيغة PSD من الملفات المرفقة

وإضافة كلمة "كوكي" إلى الكلمات الممنوعة

ـــــــــــــــــــــــــــــ

[محمد سراج]

مع تحيات

[ريمه الخاني]

اخي الكريم سراج اظنني اخذت الموضوع عنك والصور غير واضحة اتمنى ان تراجعه وتكمله
ولك الف شكر وللمهتمين لسلامة المنتديات ارجو الاضافة

[فاطمه الصباغ]

مشكورة على المعلومات