طريقة حماية منتداك 100% (سد جميع الثغرات)!!

بسم لله الرحمن الرحيم ،،

طريقة حماية منتداك 100% وسد جميع ثغراته



1- يجب وضع حماية على المجلدات التالية :.
admincp
includes
modcp
install
archive



2- تغيير اسم مجلد admincp الى اي اسم اخر .



3- عدم مراسلة الاعضاء من لوحة التحكم عبر البريد الاكتروني .



4- إيقاف خاصية مراسلة الاعضاء فيما بينهم (او بعضهم البعض) عبر البريد الإلكتروني
الطريقة كـ الاتي:.
لوحة تحكم المنتدى > خيارات المنتدى > خيارات البريد > السماح للمستخدمين بالمراسلة البريدية للأعضاء الآخرين . خليها لا



5- تغيير محتوى الملفات . showgroups.php و memberlist.php و online.php و calendar.php بـ محتوى index.php
والطريقة كـ الاتي :.
الدخول عبر برنامج FTP . ثم الذهاب الى مجلد المنتدى vb ثم تنزيل ملف index.php . ثم فتحة عبر برنامج المفكرة ، ونسخ محتواه كاملاً ، ثم تنزيل الملفات
showgroups.php و memberlist.php و online.php و calendar.php ثم فتح الملفات المذكورة ملف ملف واستبدال محتواها بمحتوى index.php
ثم إعادة رفع الملفات المذكورة showgroups.php و memberlist.php و online.php و calendar.php .



6- إيقاف خاصية الارشيف من لوحة تحكم المنتدى .
الطريقة كـ الاتي:.
من لوحة تحكم المنتدى ومن خيارات المنتدى ومن خيارات ارشيف محركات البحث ستجد اول خيار تمكين أرشيف المنتدى اجعلها ( لا ) .


7- تعديل تمبليت SHOWTHREAD في جميع الاستايلات ، وذالك ((((بـ حذف)))) الكود المرفق(مهم جداً) .



8- تغيير تصريح مجلد includes الى 751 ، وايضا ً إعطاء جميع ما يحتوية نفس التصريح .

9-افتح ملف config.php
الموجود في مجلد include
قم بتعديل اسماء المجلدات كالتالى


$admincpdir = 'admincp';

(قم بتغير اسم المجلد)

$modcpdir = 'modcp';

(قم بتغير اسم المجلد)


قم بتغيير اسم مجلد admincp للاسم الذى كتبته بملف الكونفيج
الان ارفع ملف الكونفيج
انشىء مجلد جديد وسمه admincp
وكذالك انشئ مجلد جديد اخر باسم modcp

ثم شفر ملف config.php عن طريق برنامج ازند


10-ثغره الهتمل
بالنسبه للتواقيع
خيارات المنتدى
خيارات هوية العضو
السماح بأكواد الـ HTML في التواقيع
لا
_______________________________

خيارات المنتدى
خيارات الرسائل الخاصة
السماح بأكواد الـ HTML في الرسائل الخاصة
لا
____________________________

خيارات المنتدى
خيارات ملاحظات العضو
السماح بـ HTML في ملاحظات الأعضاء
لا

11-حل ثغره شريط المواضيع
افتح ملف last10.php
وببعض الهاكات الاخرى ملف ttlast.php
ابحث عن


$fsel
$ftitle

فقط قم بحذفهم من الملف
وارفعه لمجلد منتداك


12-ثغرة ملف التعليمات faq.php

وهي ثغره من نوع Path Disclosure حيث بواسطتها يقدر أن يعرف الشخص المخترق في
أي دليل داخل السرفر تقع ملفات المنتدى

طريقة سد الثغرة
فتح ملف faq.php وقم بالبحث عن الأسطر التاليه



// initialize some template bits
$faqbits = '';
$faqlinks = '';



أضف بعدها مباشرة



$navbits[''] =$vbphrase['faq'];



احفظ الملف وارفعه لمجلد منتداك

13-ثغرة ملف editpost.php

هي ثغره من نوع CrossSite Scripting وهي ثغره عن طريقها يتم سرقة الكوكيز
المحفوظ داخل الأجهزه وبها يستطيع المخترق الدخول للمنتدى بالكوكيز المسروقه
ولكن لا يستطيع التعديل في بيانات الشخص المسروق الكوكيز منه سواءاً بريده
الالكتروني أو كلمة المرور وهذه ميزة النسخه من الجيل الثالث

طريقة سد الثغرة

قم بفتح ملف editpost.php وابحث عن السطر التالي



$edit['title'] = trim($_POST['title']);



استبدله بهذا السطر


$edit['title'] = trim(xss_clean($_POST['title']));


احفظ الملف وارفعه لمجلد منتداك



14-ثغرة ملف authorize.php
وهي ثغره من نوع SQL Injection

هو ملف خاص بتطبيق عمليات الشراء والتحقق من بعض مواقع الصرافات مثل paypal
وهو ليس لازم لعمل المنتدى فلو تم حذفه يكون أفضل




15-ثغرة الفلود في منتديات vBulletin

من لوحة تحكم المنتدى >> خيارات المنتدى >> خيارات تسجيل المستخدمين (الاعضاء) >> التحقق بالصورة >> قم بإختيار نعم



16-::.ثغرة الارشيف.::

إيقاف خاصية الارشيف من لوحة تحكم المنتدى خيارات المنتدى ومن خيارات ارشيف محركات البحث ستجد اول خيار تمكين أرشيف المنتدى اجعلها ( لا )

او تغيير محتوى الملفات ارشيف بـ محتوى index.php




17-ثغرة كود الفلاش [flash] و طريقة إغلاقها

ثغرة كود الــ bb الفلاش و طريقة حذفها و إغلاقها هي أنك تذهب إلى لوحة التحكم و إلى ضبط أكواد الـ bb و حذف كود الفلاش بكامله



18-ثغرة ملف online.php المتواجدون الآن و طريقة ترقيعها

اذهب إلى لوحة تحكم منتداك و من ثم إلى المجموعات ثم ضبط إعدادات مجموعة الأعضاء و من ثم اذهب إلى أي مجموعة مثلا مجموعة الأعضاء و انزل تحت تحت تحت و سوف تجلد الخيار (صلاحيات المتواجدون الآن) ضع كل خياراته لا و خاصة الأولى أهم شيء أي أنه بجانب الجملة يستطيع رؤية المتواجدون الآن اختر ( لا ) و احفظ العمل و طبق هذه الطريقة على كافة المجموعات و غير لازم أن تطبقها على مجموعة المشرف العام.........



19-ثغرة ملف functions_search.php محرك البحث و طريقة إغلاقها

أدخل إلى المجلد includes الموجود في مجلد منتداك الرئيسي و غالبا ما يكون vb أي vb/includes و استبدل ملف functions_search.php الموجود في المرفق بالملف القديم


20-ثغرة ملف calendar.php التقويم و طريقة إغلاقها

الطريقة الوحيدة هي أن تحذف الكود بكامله من داخل ملف calendar.php و تقوم بوضع كود ملف index.php الصفحة الرئيسية بداخله بحيث أنه عندما يقوم أي واحد بالدخول للتقويم فينتقل تلقائيا للصفحة الرئيسية...............



21-ثغرة ملف memberlist.php قائمة الأعضاء و طريقة إغلاقها

من لوحة تحكم منتداك قم بإغلاقها كالتالي:
اذهب إلى لوحة تحكم منتداك من خيارات المنتدى اذهب للخيار (قوائم الأعضاء و مشاهدة الهوية) و قم بالضغط على الخيار ( لا ) في أول الصفحة و احفظ العمل .............



22-ثغرة ملف private.php الرسائل الخاصة و طريقة إغلاقها

افتح ملف private.php الموجود في مجلد منتداك الرئيسي vb و ابحث عن الكود :


كود PHP:

رمز:
$pm['title'] = trim($pm['title']);و استبدله بالكود التالي :


كود PHP:

رمز:
$pm['title'] = trim(xss_clean($pm['title']));



23-نقاط مهم ياليت اصحاب الموواقع يركزوون عليه :.


* كلمات المرور :

أسهل طريق أمام المخترق هو تجربة كلمات مرور عدة حتى يصل لهدفه ..
.
أو قد يقوم صاحب المنتدى بنشر كلمة مروره عن طيبة قلب لشخص أو لآخر .....

يجب الحذر كثيراً من هذه النقطة ....

حاول تغيير كلمة مرورك بشكل دوري و لا تحفظها في أي مكان

على جهازك (إذا خشيت من نسيان الكلمة فعليك بحفظها على ورقة خارجية) .

كذلك لا تحفظها في المتصفح فقد يكون الوصول إليها سهلاً

لو نجح المخترق في اختراق جهازك الشخصي .

* الحماية المضاعفة مع htaccess .

هذه الطريقة تسمح لك بوضع كلمة مرور إضافية على مجلد الأدمن الخاص بمنتداك

. أنصح الجميع بعدم التهاون بهذه النقطة ....

فلو فرضنا أن المخترق تمكن من اكتشاف ثغرة

في المنتدى و أعطى لنفسه صلاحيات المشرف فإنه لن يتمكن

من الدخول على لوحة التحكم بأي حال من الأحوال ...

لأنها محمية بكلمة مرور مضاعفة (مشفرة أيضاً) .....



*لا تستخدم اسم الـ Admin في مشاركاتك في المنتدى ...:

يفضل أن تنشأ اسماً خاصاً تدخل به على لوحة التحكم

و اسماً آخراً تشارك به في المنتدى و السبب

أن لا يكون اسم الأدمن معروفاً للجميع و في ذلك بعض الخطورة .

*تغيير خصائص الأدمن :


نعلم جميعاً أن المنتديات تعطي صلاحية للأعضاء المنتمين للعضوية Adminstration


و أغلب الثغرات التي يحاول المخترقون ايجادها تكون بإعطاء صلاحية أدمن لنفسه ....

إذن .... الحل الأكيد لمنع مثل هذه المحاولات هو

تغيير خصائص الأدمن من لوحة التحكم الخاصة بمنتداك .....

كل ما عليك هو أن تغيير خصائص الأدمن ليصبح
مثله مثل أي عضو آخر (لا يستطيع تعديل المواضيع -

لا يستطيع دخول لوحة التحكم - لا يستطيع رؤية الساحات الخاصة)

..... عندها تستطيع أن تنام و أنت مرتاح البال .... (==>نصيحة مجرب
)

*تحديث المنتدى بشكل دوري :


احرص على الحصول على آخر نسخة من منتداك
لأنها غالباً ما تكون خالية من ثغرات النسخ القديمة .....

و لا بأس من التروي قليلاً للتأكد من خلو النسخة الجديدة من الثغرات أيضاً ...

*متابعة الموقع الرسمي للمنتدى :

احرص على زيارة الصفحة الرئيسية للشركة المنتجة

للاطلاع على آخر الثغرات و رقع هذه الثغرات .

*عمل باك آب بشكل دائم للمنتدى :

من البدايه أن هذه النقطة هي نقطة مهمة جداً ....

لأنك على أسوأ الأحوال ستتمكن من العودة إلى آخر نقطة عملت باك آب عندها ...

ماهو الموعد المناسب لعمل باك آب ؟

هذا يعتمد على حجم منتداك ..... فقد تحتاج لعمل باك

آب بشكل اسبوعي أو حتى يومي إذا كان المنتدى ضخماً ...

*اجعل كلمات المرور غير ظاهرة في لوحة التحكم :

مثلاً في منتديات الـ VB هناك خاصية تسمح لك

بإخفاء كلمات المرور في لوحة التحكم و ذلك من خلال

ملف Config الخاص بمنتداك ... (كل ما عليك هو تغيير أحد القيم من 1 إلى 0) .

*ماذا يحدث غالباً عند اختراق المنتدى ؟

غالباً فإن المخترق يتمكن من اختراق المنتدى باستخدام

ثغرة تنشر على الشبكة أو يكتشفها بنفسه ....


لذلك فلا تقلق على موقعك الأصلي (إن كان الموقع يحتوي

على أقسام أخرى غير المنتدى) ....

لأن المخترق لم يتمكن من اختراق الموقع نفسه كل

ما فعله هو التمكن من الدخول على لوحة التحكم بإعطاء نفسه صلاحيات المشرف .

هنا قد يغير المخترق صفحة البداية من المنتديات .....

و هو أقل شيء يفعله ليخبر الجميع بعملية الاختراق ...

بالطبع ستساء كثيراً إذا دخلت يوماً على منتداك

و فوجئت بأن صفحة البداية مختلفة !!

ماذا تفعل حينها ؟

إذا كنت تريد نصيحتي فإن هناك طريقة قد لا ترضي

الجميع و لكنها بالنسبة لي أفضل مليون مرة من الصفحة التي يضعها المخترق !

كل ما عليك هو أن تدخل على ملفات موقعك

من خلال أي برنامج FTP و قم بتغيير البيرمشنز الخاصة

بمجلد المنتدى ليتجعل الوصول إليه محجوباً عن الجميع ...


عندها ستظهر رسالة 403 fORBIDEN

إذا كان لا يعجبك شكلها فيمكنك استخدام صفحات

الخطأ البديلة إذا كان المستضيف يعطيك هذه الخاصية .

* هل منتداك آمن عند هذه النقطة ؟

لا نستطيع أن نجزم بذلك للأسف ......

لكن نستطيع أن نقول أنه لم يتبقى طرق

أخرى معروفه أمام المخترق سوى محاولة اختراق

السرفر نفسه و هي عملية أصعب قليلاً من عملية اختراق منتدى ....

و لحماية سرفر موقعك .....

* عليك أن تحرص استضافة موقعك لدى شركة معروفة

و مضمونة ببرامجها الآمنة و المتجددة دائماً ...


* كما أرجو ألا تهمل كلمة مرورك بأي حال من الأحوال .


*احرص على استخدام صفحات الخطأ البديلة لأنها تمنع

المخترق من معرفة نوع السرفر الذي يعمل عليه موقعك .

*احرص على استخدام برامج آمنة في موقعك .
------------------------------------------
وهكذا تم حماية منتداك10% وسد جميع ثغراته ^_^

فى المرة القادمة هعمل موضوع فى الحمايات والثغرات بعض الناس لا تعرفها
سلامووووووووز

/

\

/

\


::::



موضوع اكثر من رائع

من عضو استحق التميز بل هو منبع التميز نفسة

دووم هالتميز يالغلا


:::

الله يكرمك

انت اللى متميز

شكرااااا لمرورك وردك العطر