ثغرات السيرفرات (( متجدد ))

[nadia]

تظهر الكثير من الثغرات وتتزايد الاختراقات يوما بعد يوم بل إنه ظهر الكثير من الهكر المبتدئين من شهرين وتعلموا كم ثغرة وبدأوا يطبقون على المواقع العربية للأسف أو بمعنى أصح المنتديات العربية وذلك لأنها لا تعتمد على أي من خبرتهم وانما هي عبارة عن سكريبتات لتخطي السيف مود أو بمعنى أصح الدوال المحمية بالسيرفر وهي لا تسمح بالدخول وتغيير ملفات الموقع وانما هي تسمح بقراءة ملف config.php وبعدها يتصلون بقاعدة البيانات عن طريق سكريبت Mysql

ثم يعملون أحد خطوتين

1- تغيير تمبلت فورم هوم

وهي أن يبحث في جدول templet

ويبحث عن Forumhome

ثم يقوم بمسح كل ما فيه ثم يكتب

Owned By name

أو

Hacked By name

ثم يروح ويسجل بالزون اتش وهو في الحقيقة لم يستطع الدخول الى موقعك أصلاً وانما قام بالدخول لقاعدة البيانات فقط أما الخطوة الثانية اذا ما عمل الأولى يستعرض ملف الكونفيق للمنتدى ثم ياخذ يوزر القاعدة وباسوردها ثم يتصل بالقاعدة عن طريق سكريبت Mysql
ويدخل على جدول user
وراح تطلع له عضويات المنتدى والغلب العشر عضويات الأولى
طبعا المخترق راح يدخل على العضوية رقم 1
ويغير الاسم
ويغير الايميل
أما خانة كلمة المرور فيتركها فارغة

الحين طلع له معلومات العضوية الأدمنيه

الحين يتوجه للرابط التالي :

[ فقط المشتركين فى المنتدى يمكنهم رؤية الرابط . اضعط هنا للتسجيل ... ]

وبعضهم يغيرون اسم الـ Admincp الى أي اسم ثاني

راح يدخل الهكر بالعضوية في المنتدى عادي

ثم ينزل آخر المنتدى راح يلقى كلمة المشرف العام بيضغط عليها وبتوصله للوحة التحكم

حتى لو سماها gfdsghsjfghsajghs

طيب لو كانت محذوفة من الاستايل يعني ما في كلمة المشرف العام كيف يوصل ؟؟؟

راح يستعرض الكونفيق عبر الشيل اللي تخطى فيه دوال السيرفر ثم بيلقى في الكونفيق عنون لوحة تحكم المشرف العام اللي انت حاطها بالكونفيق طيب لو شفرت الكونفيق ؟؟ ما راح يقدر يخترق ؟؟؟

الحين أي مبرمج php لو تفهمه الفكره ويحاول يدرسها يقدر يطلع معلومات الكونفيق حتى لو كان مشفر
والحين بعض الهكر عرفوا طريقة برمجة الملف وعملوه وبدأوا يتخطون التشفير للأسف !!

طيب لو كان ملف admincp او أي اسم ثاني محمي بجدار ناري ؟؟؟؟

ياخوي فيه أمر بسيط يستعرض ملف .htpasswds اللي يكون فيه معلومات دخول جميع الجدران النارية بموقعك وراح يخترق المنتدى

طبعا الحين فهمتكم الفكرة طيب الذكي بعد ما قرأ الفكرة وفكر فيها

السؤال كيف سنحمي منتدانا أو موقعنا أو بمعنى أصح كيف نحمي السيرفر من تخطي دواله ؟؟

اكتشفنا الحين ان موقعك محمي 100% وما عليه أي كلام لكن المشكلة بالسيرفر وليس الموقع

لأنهم بيتخطوا دوال السيرفر أو مثل ما يسميه بعض الهكر ( تخطي سيف مود ) إذا كيف نحمي السيرفر ندعوا جميع أصحاب السيرفرات لمتابعة هذا الموضوع
تابعوا مواقع الحماية الأجنبية بتلقون فيها سكريبتات لتخطي السيف مود وراح تلقون الدالة اللي يتخطون فيها السيف مود والدالة اللي كانت متواجدة
هي
copy()
وتم تطوير الشيلات من قبل مبرمجين مسلمين وعربيين وتقويتها
طبعا الشيل يستخدم دالة معينة أو أكثر من دالة للاختراق وتخطي الدوال الأخرى

طيب لو عرفنا مثلا ان شيل copy.php

يتخطى السيف مود ودوال السيرفر عبر الدالة copy()

وأيضا مجموعة من الدوال الأخرى كيف راح نمنع الشيل من العمل على السيرفر
يعني نسوي له ترقيع ؟؟؟
لازم تحذر مستضيفك أو صاحب السيرفر أو من يملك سيرفر
يدخل على الرووت ثم يدخل ملف php.ini ويمنع الدوال التي من خلالها الشيل يتخطى السيف مود ولو افترضنى ان نبي نسوي ترقيع لشيل الـ copy.php
ندخل php.ini ونمنع الدالة copy()
وبعدها لن يعمل الشيل وبذلك أصبح السيرفر محمي من هذا الشيل

وأنا وفرت عليكم عناء البحث والتحليل

وان شاء الله يكون ما توصلت اليه هو الحل ان شاء الله

فقد قمت بتحليل جميع الشيلات الحديثة وقمت بتحليل الكثير من الشيلات

وهذه الدوال التي أعتقد ان منعتها بالسيرفر فستكون محمي من شيلات تخطي السيف مود

لهذا الوقت وقد ينزل شيل آخر وسأقوم بوضع ترقيعه (دواله) بهذا الموضوع فهو موضوع متجدد بإذن الله
وكل من يملك معلومة أو دوال جديدة فأتمنى ألا يبخل على اخوانه المسلمين وهذه الدوال التي يجب عليك أن تمنعها بالسيرفر لتحصل على حماية كافية بإذن الله :

dl, exec, shell_exec, system, passthru, popen, pclose, proc_open, proc_nice, proc_terminate, proc_get_status, proc_close, pfsockopen, leak, apache_child_terminate, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, escapeshellcmd, escapeshellarg, hell-exec, fpassthru, exec, crack_check, crack_closedict, crack_getlastmessage, crack_opendict, psockopen, php_ini_scanned_files, php_uname, phpinfo, copy

وشكرا

 

[zouba3]

merciiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii