اكبر موضوع لحماية المنتديات من الاختراق
حبيت اساعد كل شخص عنده منتدى وخايف من الاختراق ومن الاطفال الي بتخترق منتداه وهوه بيكون سنين بيبني فيه
اولا هذا الموضوع حصري جدا للموده
ومن انشائي الكامل
بسم الله نبدا
اولا البورتات الي يتم الاختراق منها عن طريق الدوس او البرامج الضاره
1-نقوم بفتح موجه الاوامر " ابدأ => تشغيل " ثم نكتب CMD
2- نقوم بوضع هذه التعليمة netstat -a -o -n يجب الانتباه إلى المسافات "الفراغات"
3-سوف نجد جميع ارقام الايبي الخاصة بك وارقام المواقع او الخدمات والبورتات اللتي تتعامل معها والاهم رقم "PID" للبورت اللذي تريد ان تغلقه
4-ادخل على "ادارة المهمات" ثم على "الخدمات " وقم باغلاق الخدمة اللتي تحمل رقم "PID" الخاص بالبورت
-----------------------------
اذا كان نظام windows XP في الخطوة الرابعة قم بـ:
ادخل على "ادارة المهمات" ثم "العمليات" ومن قائمة "عرض" اختر "تحديد الاعمدة" ثم حدد على الخيار "PID"
وبكده حمينا منتدانا من الاختراق عن طريق الدوس
اتنين
شرح طريقة تغير مسار كل من
admincp_ الى اى مسار تريد وليكن admin_cp (((مسار لوحة تحكم المدير العام)))
modcp _ايضا الى مسار تريد وليكن mod_cp (((مسار لوحة تحكم المشرف العام)))
لتامين بعض الثغرات من المخترقيين
بعد تسجيل الدخول فى ftp
ندخل على المسار التالى www/vb/includes
وبعدين نقوم بفتح ملف config.php عن طريق الخطوة التالية بالضغط كليك يمين ثم كما مشار اليك بالصورة
سيفتح الشكل التالى نقوم بالتعديل على ملف المشرف العام والمدير العام
ودى طريقة التعديل للنسخة الماسية بالشكل التالى نقوم بتغير اسم admincp
الى الاسم الذى تريد وانا هنا سميته admin_cp
ونفس الحال هنا تم تغير مسار modcp وانا هنا غيرته الى modcp_cp
وانت حر تستطيع تغير المسار الى انت عاوزه
دلوقتى اغلق ملف الكونفيج بعد تعديله
ستجيلك رسالة تقولك لو عاوز تحفظ الملف الذى تم التعديل عليه طبعا نضغظ yes
عشان نحفظ الملف بعد تعديله
دلوقتى فى حاجه مهمه اوى
لازم ندخل على المسار التالى
www/vb من خلال برنامج الاف تى بى ونقوم بتعديل مجلدات الملفات التى تم التغير عليها
الى الاسم الذى تم كتبته فى ملف الكونفيج
على سبيل المثال انا غيرت مسار لوحة التحكم المدير العام من admincp
الى admin_cp
سوف اذهب للمجلد واغير اسمه عن طريق الضغط على اسم المجلد كليك يمين rename
ليكون شكل المجلد هكذا
ولاتنسى تغير مسار لوحة تحكم المراقب العام الى المسار الى انت كتبته فى ملف الكونفيج بنفس الطريقة
وفى النهاية ستكون النتيجة لتغير الملف كده ومسار لوحة التحكم للمدير العام هكذا
www.0000.com/vb/admin_cp
مع مراعاة استبدال كلا من 000 باسم موقعك و admin_cp باسم المثار الى انت كتبته فى ملف الكونفيج
ايوم بكده منعنا الدخول على لوحاتنا
للحمايه اكثر لمجلد الادمين
إذا كانت لوحة تحكم المشرف العام مفتوحه
للدخول بدون طلب كلمة مرور أخرى فيفضل أن تقوم بحمايتها تفادياً لأي طريقة وصول
عن طريق htaccess .
اذهب الى لوحة تحكم الموقع السي بانال واضغط على ايقونه
password protect directoriesبعدها سيظهر لك مجلدات موقعك حدد مجلد المنتدى
اضغط على مجلد المنتدى
ستفتح لك صفحه اخرى اختر المجلد المطلوب حمايته وهو مجلد المنتدى الذي غيرت اسمه انفا اضغط عليه ستفتح صفحة جديدة
ضع علامة صح في مربع القفل المغلق ومن ثم اضغط على save
ارجع لنفس الصفحة بالضغط على زر back
الان نقوم بوضع اسم مستخدم وباسورد لحماية مجلد الادمين الجديد
افعل ذالك واحفظ شغلك
وكرر العمليه مع المجلد القديم الفارغ admincp , modcp
وبهذا انتهينا من حماية مجلد الادمين ومجلد دخول المشرفين
ثلاثه
سد الثغرات كله هنا ثغرات المحترفين والمبتدئين
ثغره الهتمل
بالنسبه للتواقيع
خيارات المنتدى
خيارات هوية العضو
السماح بأكواد الـ HTML في التواقيع
لا
3-خيارات المنتدى
خيارات الرسائل الخاصة
السماح بأكواد الـ HTML في الرسائل الخاصة
لا
4- خيارات المنتدى
خيارات ملاحظات العضو
السماح بـ HTML في ملاحظات الأعضاء
لا
5-حل ثغره شريط المواضيع
افتح ملف last10.php
وببعض الهاكات الاخرى ملف ttlast.php
ابحث عن
$fsel$ftitleفقط قم بحذفهم من الملف
وارفعه لمجلد منتداك
6- ثغرة ملف التعليمات faq.php
وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى
طريقة سد الثغرة
فتح ملف faq.php وهو موجود في مجلد الــ vb وقم بالبحث عن الأسطر التاليه :
كود:
// initialize some template bits $faqbits = ''; $faqlinks = '';
أضف بعدها مباشرة
كود:
$navbits[''] =$vbphrase['faq'];
احفظ الملف وارفعه لمجلد منتداك
7- ثغرة ملف editpost.php وهو موجود في مجلد الــ vb
هي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث
طريقة سد الثغرة
قم بفتح ملف editpost.php وابحث عن السطر التالي :
كود:
$edit['title'] = trim($_POST['title']);
استبدله بهذا السطر
كود:
$edit['title'] = trim(xss_clean($_POST['title']));
ممممم اش في ثغرات كمان
اه طيب
هاك إضافة إخفاء الأدمن عن الجميع للنسخ 3.6.0
تم تجربته على 3.6.4 و يعمل بشكل ممتاز
لا يخفي الإسم في الصفحة الرئيسة و لكن يخفيه في قائمة المتواجدين
فكرته يقوم بإخفاء نشاط الأدمن عن الجميع حتى عن الأدمن نفسه لا يمكنه مشاهدة نشاطه. في قائمة المتواجدين الآن أو في ملفه الشخصي
لان البعض يستغل مسار لوحة تحكم المنتدى اذا تم تغيرها اسمها للحمايه
الإضافة من موقع أجنبي و شرحتها باللغة العربية
طريقة التركيب :
1- قم برفع الإضافة البرمجيه Plugin من لوحة التحكم
2- عدل القواب كما هو موضح على جمع الستايلات المفعله.
اضغط هنا للتحميل
--
المثال :
إذا كان هناك مجموعة من المشرفين يشاهدون الاعضاء الذين اختارو التخفي في قائمة المتواجدين الآن. مثل admin يشاهدونه admin* ، بإمكانك إستعمال هذه الاضافة البرمجية لجعل admin لا يظهر إطلاقا في قائمة المتواجدين الآن.
و لو دخل أي شخص إلى الملف الشخصي لـ admin لا يمكنه معرفة ما هو نوع النشاط الذي يقوم به admin في تلك اللحظه.
اتمنى تكون الفكرة اتضحت و آسف لعدم إدراج صور لأنها لا تقدم شي ، ببساطه ستكون الصورة للقائمة بدون الآدمن.
ملاحظة إذا أردت إخفاء عضو آخر قم بغيير الآي دي بدل 1 لـ admin ضع الرقم الذي تريده للعضو الخفي
طريقة إخفاء مكان تواجد المدير العام للحماية من معرفة مجلد الأدمن
أبحث عن عبارتين
كود PHP:<!-- current activity -->
أستبدل النص الموجود بينهما بهذا النص
<كود PHP:if condition="$userinfo[userid] != 1">
<div>
$userinfo[action] $userinfo[where]
<if condition="$show['detailedtime']"> - <else /> @ </if>
$userinfo[time]
</div>
<else />
<br />
<a href="index.php?">
<font color="#FF0000"> [ وش تبي يوم تراقبني ؟ ] </font>
</a>
<br />
</if>
مع التنبه الى أن رقم 1 التي في البداية هي رقم العضوية للمدير الذي تريد إخفاء مكان تواجده
يارب يعجبكم واريد الحمايه من الاخوان لانو انا كثير بزعل لما عضو يكون تعبان على منتداه تعب كبير ويجي واحد من هالاطفال ويعمل حركه ويحذفله المواضيع والمشاركات والاعضاء ويسيطر عالمنتتدى ويكتب ههه تم اختراق المنتدىدا عيب
والله عيب بقى الله يخليكم حاذروا ياااخوان
رد مع اقتباس
مواقع النشر (المفضلة)