السلام عليكم ورحمة الله وبركاته
مساكم الله بالخير جميعاً !
كيف حالكم .. عساكم بخير و عافية يالطيبين
بالتأكيد فإن كل مستضيف يحتوي على سيرفره مجموعة من العملاء
من
40 % الى
60 % من العملاء في الغالب أصحاب مواقع مبتدئين
( أول مرة يفتح موقع
)
هالأشخاص .. يركبون سكريبتات منوعة ويجربون مختلف البرمجيات اللي تتركب على الموقع
بغض النظر عن عيوبها الأمنية و بعض الأخطاء فيها التي قد تؤدي الى وصول الهكر لموقعه وربما الى المستضيف نفسه !
لذلك في هالموضوع بنشرح برنامج
PHP Security Scanner بإذن الله بأفضل إصدار من إصداراته
وهو متخصص بفحص موقع او سكريبت معين على السيرفر و التأكد بأنه خالي من ثغرات الـ php بأنواعها
سواء
File Include أو
Sql Injection أو
xss ..الخ
طبعاً هالبرنامج لأصحاب السيرفرات فقط وهم الوحيدين اللي قادرين على التطبيق
في حال كنت عميل لدى أي شركة .. تقدر تعطيهم رابط الموضوع وهم يتكفلون بالباقي ان شاء الله
نبدا
خطوات التركيب :-
من الـ
SSH .. ادخل على مجلد حساب موقع الإستضافة بالأمر التالي :
كود:
cd /home/user/public_html
استبدل
user بإسم المستخدم لحساب موقع الاستضافة
الآن اسحب البرنامج الى المجلد بالأمر التالي :
كود:
wget http://nchc.dl.sourceforge.net/sourceforge/securityscanner/securityscanner-1.0.2.tar.gz
قم بفك الضغط عن الملف بعد إنتهاء تحميله بالأمر التالي :
كود:
tar zxvf securityscanner-1.0.2.tar.gz
ثم بتنفيذ الأمر التالي لتغيير اسم مجلد البرنامج الى php :
كود:
mv securityscanner-1.0.2 php
نفذ الأمر التالي لدخول المجلد :
بعد ذلك قم بتنفيذ الأوامر التالية لضبط تصاريح ملفات البرنامج :
كود:
chmod 755 bin/security_scan.php
chmod 755 bin/security_update.php
chmod 755 interface/templates_c
كذا الحمد لله تمام .. ما بقى لنا إلا إعداد البرنامج
ادخل على لوحة تحكم Cpanel موقعك
وسوي قاعدة بيانات وضيف لها اسم مستخدم وكلمة مرور
الآن من الـ SSH وانت داخل المسار التالي :
كود:
/home/user/public_html/php
نفذ الأمر التالي لزراعة قاعدة بيانات البرنامج :
كود:
mysql -uhost_php -p123 database_name < db_generate.sql
استبدل host_php بإسم مستخدم قاعدة البيانات
استبدل 123 بكلمة مرور قاعدة البيانات
استبدل database_name بإسم قاعدة البيانات
بعد إنتهاء عملية الزراعة بنجاح بإذن الله .. نفذ الأمر التالي :
كود:
cp bin/config.php.sample bin/config.php
ثم
إبحث عن الأسطر التالية :
كود:
$db_username = "root";
$db_password = "";
$database_name = "DB_you_created";
السطر الأول db_username هنا تكتب اسم مستخدم قاعدة البيانات ..
السطر الثاني db_password هنا تكتب كلمة مرور قاعدة البيانات ..
السطر الثالث database_name هنا تكتب اسم قاعدة البيانات ..
لنفرض ان البيانات هي
husain_user
123123
husain_phpscan
راح يكون التعديل النهائي كالتالي :
كود:
$db_username = " husain_user";
$db_password = "123123";
$database_name = "husain_phpscan";
بعد إنتهاء التعديل .. قم بإغلاق الملف وحفظ التعديلات عن طريق الضغط على الأزرار التالية بالكيبورد :
Ctrl+x
ثم
y
الآن عملية الفحص تكون بتنفيذ الأمر التالي وأنت داخل مسار البرنامج ( /home/user/public_html/php ) :
كود:
bin/security_scan.php /home/user/public_html scan1
user = اسم مستخدم الموقع الذي تريد فحصه
scan1 = اسم لعملية الفحص .. ضع هنا اي اسم في راسك .. مثلاً husain
راح يكون الأمر كالتالي :
كود:
bin/security_scan.php /home/user/public_html husain
لفحص سكربت معين على السيرفر
استبدل /home/user/public_html بمسار السكريبت على السيرفر
مثلاً المنتدى
كود:
bin/security_scan.php /home/user/public_html/vb husain2
وهكذا ..
وأخيراً .. لمشاهدة نتائج الفحص يمكنك الدخول على موقعك اللي رفعت عليه البرنامج
ومشاهدة النتائج ..
عن طريق الرابط التالي :
www.xxx.com/php/interface/index.php
استبدل xxx بدومين موقعك
( يفضل إغلاق المجلد بجدار ناري عبر الـ Cpanel )
دعواتكم لي ولوالدي ..
أخوكم في الله .. حسين
تشآآآآآآآآآو