لحماية أفضل لمنتداك
في البداية
ثغرات في المجلدات admincp و includes و modcp و install و طريقة ترقيعها[/color]
طريقة حماية هذه المجلدات سهلة جدا
من السى بانل نختار هذه الصوره والضغط عليها بالماوس
بعدها سيظهر لك مجلدات الموقع حدد مجلد المنتدى
نقوم بالضغط على صوره المستند
ستفتح لك صفحه اخرى اختر المجلد المطلوب حمايته .. المطلوب مثلا مجلد الادمن
نقوم بالضغط على الكلمه ستفتح صفحه نضع صح داخل المربع
بعدها ستظهر صفحه اخرى اضغط جو باك
انزل لاسفل املأ البيانات كما هو موضح بالصوره
تقوم بذلك مع المجلد الجديد للادمن والمجلد القديم الفارغ
أهم شيء احميها باسم مستخدم و كلمة مرور
و مجلد install الأفضل أن تحذفه بالكامل و عند التطوير تضع مجلد النسخة الجديدة و تسوي install عادي و هذا يرجع لك المهم إما حماية مجلد install أو حذفه و مجلدي admincp و modcp إذا كان يمكن للهاكر تعدي الحماية و اختراقهم فيمكنك بدلا من أن تحميهم أن تغير اسمهم إلى أي اسم مثل ABDFVadmincp حتى لا يعرف المخترق امتداد المجلد و لكن عند تغيير اسم المجلد يجب أن تذهب لملف config.php الموجود داخل ملجد include و تغيير اسمهم منه أيضا و الطريقة كالتالي:[/color]
افتح ملف config.php و ابحث عن الكود :
كود PHP:
$admincpdir = 'admincp';
و غير اسم admincp إلى الاسم الذي اخترته من قبل للمجلد
و ابحث عن الكود التالي أيضا :
كود PHP:
$modcpdir = 'modcp';
و غير اسم modcp إلى الاسم الذي اخترته من قبل للمجلد
الملفات موجودة بمجلد المنتدى الرئيسي :
قبل التعديل احفظ نسخه احتياطية
الملف الاول ملف
أخر 10 مواضيع
إبحث عن الداله التاليه
و الداله التاليه
و إحذفهم
وهم يكونوا فى ملف ttlast.php
و إن لم تجدهم فيه فستجدهم فى ملف last10.php
انتهى الترقيع لثغرة اخر 10 مواضيع
2- ثغرة الرسائل الخاصه:
الترقيع للثغره :
فى ملف
private.php
إبحث عن الكود التالى
كود PHP:
// trim the text fields
$pm['title'] = trim($pm['title']);
$pm['message'] = trim($pm['message']);
و إستبدله بالاتى
كود PHP:
// trim the text fields
$pm['title'] = trim(xss_clean($pm['title']));
$pm['recipients'] = trim(xss_clean($pm['recipients']));
$pm['message'] = trim($pm['message']);
انتهى الترقيع لثغرة الرسائل الخاصة
3- ثغرة ملف التعليمات
faq.php
الترقيع للثغره :
* افتح ملف faq.php وقم بالبحث عن الأسطر التاليه:
كود PHP:
// initialize some template bits
$faqbits = '';
$faqlinks = '';
أضف بعدها مايلي:
كود PHP:
$navbits[''] =$vbphrase['faq'];
أنتهى الترقيع في ثغرة faq.php
4- ثغرة
memberlist.php
أ- اذهب إلى لوحة تحكم منتداك
ب- من خيارات المنتدى اذهب للخيار (قوائم الأعضاء و مشاهدة الهوية) و قم بالضغط على الخيار ( لا ) في أول الصفحة و احفظ العمل
انتهى
ثغرة
مركز رفع الملفات
اولا: الثغرة متواجده في المراكز التحميل الملفات والهاكات التحميل بـ المنتديات الvb وغيرة وهـي أمتداد (3gp) تمكن المخترق من رفع shell.php.3gp
وهذه الـشيل:::أختراق الموقع + احتمال السيرفر بالكامل
وثغرات مركز التحميل بالامتدادات التالية: rar & jpg & gif & 3gp nEw
يااانك تحذف المركز التحميل وتفتك او انك تفتح المفكرة :: وتحط فيها هذه الكود:
كود:
RemoveType .php .php3 .phtml .pl .cgi .rar .jpg .3gp .gif .asp
htaccess
وتـرفعه على نفس مجلد المركز التحميل من الاف تي بي FTP طبعا
وللعلم
لن تستطيع أن تسمى ملف
.htaccess ولكنك ستجعله htaccess.txt وترفعه بالاف تى بى
وتعيد تسميته الى .htaccess بالاف تى بى
انتهى
ثغرة ملف
editpost.php
الترقيع للثغره :
*قم بفتح ملف editpost.php وابحث عن السطر التالي
كود PHP:
$edit['title'] = trim($_POST['title']);
وسوف تجدها مرتين
إستبدلهم بالسطر التالى
كود PHP:
$edit['title'] = trim(xss_clean($_POST['title']));
انتهى
ايضا
اذا كنت مفعل خاصية الفلاش بمنتداك قفل هذي الخاصية + خاصية الــ html وتلقاها في خيارات المنتدى واما اي html ضع No
من الثغرات أيضاُ
أخذف صيغة PSD من الملفات المرفقة
وإضافة كلمة "كوكي" إلى الكلمات الممنوعة
****: بهذه الخطوات جميعها تكون نسبة الحماية لمنتداك بمستوى عالي :****
*ملاحظة : أعتذر ان كانت المعلومات مكررة
لكن وضعتها لكثرة الطلبات ولتعم الفائدة
أخوكم :: عبدالله الحصان
لحماية أفضل لمنتداك ( تفضل هنا
النمط المتتابع
