السبب الأول لاختراق موقعك هو السماح برفع الملفات

[alkahf]

السلام عليكم و رحمة الله و بركاته

في الآونة الأخيرة ظهرت مشاكل كثيرة لدى البعض من اختراق مواقعهم و يذهب بكل منهم الظن بأن الخلل في المنتدى مثلاً أو سكريبت الأخبار أو غيرها من السكريبتات الرئيسية في مواقعهم ..
فيما السبب الرئيس يكمن في سكريبتات بسيطة قد لايخظر ببالك أنها السبب لما يحصل ..

و أذكر منها مثالين اثنين :
1 - مركز تحميل الملفات .
2 - ألبوم الصور .

التفصيل :
1 - مركز تحميل الملفات : أغلب هذه السكريبتات المتوفرة لرفع الملفات ضرورية لأغلب أصحاب المواقع نظراً لرغبتهم في توفير هذه الخدمة الضرورية لأغلب الأعضاء و المشاركين ...
و طبعاً فإن أغلب السكريبتات المتوفرة من هذا النوع مجانية لذلك كل صاحب موقع يبث عن سكريبت و يقوم بتركيبه و يعتقد أنه انتهى من مشكلة رفع الملفات لدى أعضائه في حين أن الذي حصل هو العكس ..
فهو بهذا السكريبت يكون قد فتح ثغرة ( أو بالأصح بوابة كبيرة ) لاختراق موقعه دون أن يشعر .
فأي سكريبت من هذا النوع يطلب منك تكوين مجلد يتم حفظ الملفات فيه ثم إعطاء هذا المجلد تصريح 777 .
و بذلك يستطيع أي هاوي أعمال هاكار من اختراق موقعك بملف يقوم بتحميله ... ثم يسيطر على كل شيء و يخرب لك الدنيا ، و يصبح موقعك واجهة إعلانية له يعرض فيها عضلاته أنه قام باختراق الموقع .

2 - ألبوم الصور :
نفس الشيء الذي رأيناه في مركز تحميل الملفات ينسحب على ألبوم الصور حيث تضطر إلى إعطاء تصريح 777 لبعض مجلدات السكريبت و بذلك تكون قد فتحت ثغرات كثيرة يمكن الدخول منها .


وبهذين المثالين أعتقد أنني انتهيت من تلخيص المشكلة .
ولكن ماهو الحل ؟؟
هل سيضطر كل صاحب موقع إلى إلغاء خدمة تحميل الملفات في موقعه ؟؟؟
الجواب : نعم و لا .

1 - نعم : أي يجب فوراً إيقاف أي سكريبت لتحميل الملفات في موقعك الأساسي مهما كان نوعه .

2 - لا : أي يمكنك تجاوز هذه المشكلة بطريقة سهلة و هي كما يلي :

مثلاً : عنوان موقعك www.domain.com فتقوم بحجز دومين آخر بهذا الشكل www.domain.net ثم تستضيف هذا الدومين الثاني في استضافة أخرى على سيرفر ثاني غير موقعك الرئيسي ..

انتبه لاتستضيف الدومين الثاني www.domain.net على نفس السيرفر و إلا ستقع في نفس المشكلة من جديد .

بل عليك استضافته في سيرفر آخر و استضافة أخرى ، ثم تقوم بتركيب مركز تحميل الملفات أو أي سكريبت آخر في المساحة الجديدة الثانية www.domain.net ...
بحيث يقوم زوار موقعك برفع ملفاتهم للمساحة الثانية www.domain.net ثم يأخذوا روابطها لعرضها في موقعك الأساسي www.domain.com .

هذا هو الحل المناسب برأيي ، و في حال تم اختراق www.domain.net فالمشكلة سهلة لأن المخترق لن يستطيع تخريب أكثر من بضعة ملفات يمكن استرجاعها بسهولة من خلال نسخة احتياطية يومية و لكنك تضمن أنه لن يستطيع تخريب موقعك الأساسي www.domain.com أو العبث به .

هذا ... و الله أعلم
والسلام عليكم
عماد الدين

[sh2soft.net]

كلمة شكر وتقدير قليلة على انسان مثلك اخي

يجزاك الجنه والفردوس الاعلى يا رب

[T7T GAMES]

جزاك الله خير اخي الكهف
نعم الطرقة الي ذكرتها رائعة بس لايستطيع عملها من هم اصحاب دخل محدود وبسيط او موقع مبتدء

لذلك رى ان استخدام htaccess ومنع تفعيل بعض اوامر php وخلافها في المجلدات الصور الحل الانسب لحل هذه المشاكل , وهناك موضوع او اكثر من موضوع لهذي الامور في سوالف
مع التحية لشخصك الكريم

[alsahernet]

جزاك الله خير يا الغالي ..
كلام اكثر من روعه . :nice:

[خالد الحربي]

يعيطك العافية اخوي عماد وفكرتك مجدية ونافعه

والحمدلله اخونا الكبير العندليب ماقصر واعطانا الحل النهائي للملفات المصرحة بال 777

والاخوان ايضاً نزلوا موضوع بتعطيل اوامرر php والخ



ولكن السؤال الحين هل يوم اركب مركز تحميل يشفر اسم الملف الى ارقام هل هو ايضاً معرض للأختراق ؟

[زاهي الشوق]

نعم اخي

هذا هو افضل حل لذلك ...

مع اخذ الاحتياطات


وهناك درس في موقع مربع من ضمن دروس الدعم الفني اعجبني وشرح هذه الخاصية والحماية شرحاً وافياً
http://www.murabba.com/support/index...ewarticle&id=6

[الريس]

عزيزي الكهف أشكر لك حرصك على أصحاب المواقع ,,,,,,,,,,,


ولكن


هل من المعقول حتى الان لم يجدوا أي حماية لمثل هذه الأمور التي تعطي تحمل


أيضا اذا كنت املك سيرفر خاص ( فليش أستضيف على شركة ثانية ) ,,,,


نقطة مهمة نزلت ملف htaccess وحميت مجلد التحميل ولكن اتفاجئا عندما اسوي سكان على الموقع احصل ملفات شل وفيروسات ,,,,

ايضا أحب الاصدقاء أخبرني طريقة لرفع الشل ( لا اريد ) أن اذكرها كي لاتستخدم ضد مواقعنا لرفع الشل حتى لو كان محمي الموقع ( لكن ) لا أدري عن جدوى الطريقة لأني لم أجربها

ايضا الاخ العندليب ذكر حل لمشكلة التصريح 777

مثلاً لنفرض ان مركز التحميل رابطه
www.swalif.net/up
يتم إعطاء المجلد up التصريح 755
والمجلد اللي فيه الملفات من الضروري إعطائه التصريح 777
مثلاً : www.swalif.net/up/files
فمجلد up سوف يلغي تصريح ملف 777 حقيقة هذا اللي فهمته من أحد المواضيع هنا ( ايضا ) لاأدري عن جدوى هذا الموضوع

فكرة أو سؤال :

هل لو وضعنا الملفات بهذا الشكل
مثلاً : www.swalif.net/up/files/id=11323
مثل مراكز التحميل العالمية ( هل عليه خطورة ايضا أم لا )


ايضا فكرة أو سؤال آخر :

هل من طريقة لربط مركز التحميل ببرنامج حماية

مثلاً قبل ان يقوم بالتحميل يمر على برنامج الحماية يفحصه وإذا أنه نظيف يتم إنزال ,,,,,,,



لي عوووودة


أبو فهد ,,,,,,

[waelbeso]

ولله موضوع رائع

وكمان ممكن يبقى واجهت الرفع على موقعك
والملفات بتترفع على موقع تانى
دا غير ان فى طرق تنيا غير اعطاء المجلد المستهدف تصريح 777
مثل استخدام برتكول الـ ftp لكن اوايضا نقل الملفات عن طريق ال ssl
بس فين المبرمجين

الصراحه من احسن الحلول الى انت قلتو

[alkahf]

أيضا اذا كنت املك سيرفر خاص ( فليش أستضيف على شركة ثانية ) ,,,,

للأسف ليس عندي طريقة أخرى مضمونة إلا ان تستأجر مساحة لدى استضافة ثانية و يمكنك مثلا حجز مساحة لدى goddady أو غيره ...
ولا يوجد عندي حل آخر ...
ولك الحرية طبعا أخي .
والسلام عليكم
عماد

[عبد الله هُربي]

جزاك الله خير ..

[mad_4u]

مرحبا اخوي
اشكرك على طرح الموضوع لاكن اخالفك في الحلول الي طرحتها
كثير من اصحاب الموقع سوا مجهود كبير في توفير قيمة مساحة استضافة واحده لذالك
ليس بوسعة توفير مبالغ اضافية ويظطر يسوي المركز في نفس الموقع لاكن الحلول موجودة
الحل انك تعطل اي ملف بي هتش بي داخل مجلد مركز التحميل وبمجرد رفع الملف ماراح يشتغل
لانك سحبت منه اوامر عمل ال بي هتش بي
العملية مجربة ومضمونه 100%
ويفضل وضع الملف في مجلدات الصور في الجاليري وفي المنتديات واي مجلد صور موجود في الموقع حتى لا يتمكن اي شخص اخفاء ملفاته بداخلها

نعم اخي

وهناك درس في موقع مربع من ضمن دروس الدعم الفني اعجبني وشرح هذه الخاصية والحماية شرحاً وافياً
http://www.murabba.com/support/index...ewarticle&id=6

[مملكة شهد]

مرحبا اخوي
اشكرك على طرح الموضوع لاكن اخالفك في الحلول الي طرحتها
كثير من اصحاب الموقع سوا مجهود كبير في توفير قيمة مساحة استضافة واحده لذالك
ليس بوسعة توفير مبالغ اضافية ويظطر يسوي المركز في نفس الموقع لاكن الحلول موجودة
الحل انك تعطل اي ملف بي هتش بي داخل مجلد مركز التحميل وبمجرد رفع الملف ماراح يشتغل
لانك سحبت منه اوامر عمل ال بي هتش بي
العملية مجربة ومضمونه 100%
ويفضل وضع الملف في مجلدات الصور في الجاليري وفي المنتديات واي مجلد صور موجود في الموقع حتى لا يتمكن اي شخص اخفاء ملفاته بداخلها

100%

اذا منعت تشغيل ملفات php داخل المجلد بوضع ملف الـ htaccess في الأمر التالي

كود:

# php_flag engine off

أو أمر عدم تحميل أي ملف يكون له صيغتين

و الأفضل جعل تصريح مجلد الملفات 775

[مملكة شهد]

بالمناسبة هذي الأوامر الي توضع في ملف الـ htaccess

مأخوذة من الدرس الموجود في مربع الله يعطيهيم العافية على الدرس

كود:

RemoveType php
<IfModule mod_php4.c>
  php_flag engine 0
php_admin_flag safe_mode On
</IfModule>

<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

# GET requests only
<LimitExcept GET>
  Order Allow,Deny
</LimitExcept>

[alkahf]

عحيب أمر بعض الأخوة سامحهم الله يفترضون أن أغلب اصحاب المواقع من الفهمانين
ياجماعة الخير نسبة 80% من أصحاب المواقع لايفهمون ماهو htaccess ، ثم يخرج علينا فلان و فلان ليقول اعملوا كذا و كذا ....
بصراحة و للجميع أقول :
صاحب أصغر موقع في أي سيرفر ليس لديه خبرة كافية و يقوم بفتح مركز لتحميل الملفات فإنه يفتح بذلك ثغرة كبيرة قد تؤدي إلى اختراق كافة المواقع على السيرفر حتى ولو كانت 100 موقع حصين و أصحابها خبراء بالـ htaccess ..
فـ اسمعوا و عوا يارعاكم الله .
والسلام عليكم
عماد

[مملكة شهد]

وش فيك عصبت أخوي عماد
ترا الشغلة كلها نقاش

يعني إذا ما كانوا يعرفون شو هي الـ htaccess نشرحها لكم
و يكون هذا الموضوع مرجع ممتاز لحماية مراكز التحميل ..

تحياتي لك