4images والاختـــراقات ( هام للجميع )

[Smawi.com]

اخواني الكرام الا يوجد حلول اخرى ؟؟ ( الموضوع مهم جدا ً لكل من يمتلك سكربت 4images بموقعه )

والان اغلب المواقع العربيه مستخدمه لهذا السكربت .

وبالفعل الكل محتاج لحلول أمنية جاده تقلل من نسبة الاختراق ولاكن ليتنا نحلها قطعيا ً إن امكن ذلك ؟

بانتظاركم ..

ملحوظه : الرجاء عدم اضافتي بالماسنجر لتقديم الحلول .. اتمنى وضع الحلول بالموضوع مباشره لكي تعم الإفاده للجميع

تحياتي

[NaIeF]

جاء بوقته هالموضوع

انا والله كنت خايف من تركيب سكربت فور ايميج بسبب الاختراقاات

لكن الحمدلله لقينا الحلول بهالموضوع ..

لكن ياليت لو يشرح لنا ياقلبي عن ثغره الريموت

[messenger]

ثغرة الريموت اذا سويت مثل ما قالك ديجي توث خلاص راح تتقفل

[Smawi.com]

ولله الحمد تم العثور على ( ثغرة الريموت ) وهي بالفعل ثغره قاتله !!

تقوم بنسف الموقع بلمح البصر !!

وللتأكيد على الترقيع هذه مقتبس من كاتب الثغرة

كود PHP:

   this exploit uploads a .jpg file with maliciuos EXIF metadata comptempt,
   it will be evaluated as php code:

   [url]http://[target]/[/url][path]/index.php?template=../../data/tmp_media/suntzu1293.jpg%00
   or
   [url]http://[target]/[/url][path]/index.php?template=../../data/media/1/suntzu1293.jpg%00 


يبين الان ان الشل ياتي بهذا الامتداد suntzu1293.jpg

لذا حاليا اوقفوا التحميل ( ملف الـ upload.php ) اللذي بداخل مجلد الـ includes

وقوموا بحذف هذا الامتداد jpg. + عمل الترقيه الى النسخه الأخيرة 1.7.2

لان ثغرة الريموت تعمل على الاصدار 1.7.1

حمانا الله وإياكم من شرور الحاقدين ..

تقبلوا تحياتي

[الإمبراطور وحيد]

السلام عليكم


ألف شكر لكم لتطرقكم لهذا الموضوع

ايضا من ضمن خطوات الحماية



قم بإلغاء الفهارس للمجلدات من كافة مجلدات الأقسام التي تقع داخل المجلد

data


والطريقة كالتالي


ضع ملف

.htaccess

في مجلد السكريبت

واكتب داخله

Options -Indexes



الآن عند الدخول لأي مجلد مثل هنا

http://wh-em.com/g/data/


لن يتم الوصول



اتمنى اكون أفدتكم والف شكر للجميع


وحيد

[Smawi.com]

استاذي الفاظل / الإمبراطور وحيد

قمت بعمل ملف htaccess. ووضع Options -Indexes بداخله

وعند طلب رابط الداتا بالمتصفح لاتضهر كلمة Forbidden كما هي ظاهره لديك http://wh-em.com/g/data

"*" س / ماوظيفة هذا الملف اللذي انشأناه هل يعطل دوال الشل ؟ او يمنع الوصول لملفات الداتا ؟

كذلك اتمنى منك وضع الملف بالمرفقات لكي يتم تحميله من قبلنا جميعا ً

شاكر لك مداخلتك و حسن تعاونك

تقبل تحياتي

[NaIeF]

ولله الحمد تم العثور على ( ثغرة الريموت ) وهي بالفعل ثغره قاتله !!

تقوم بنسف الموقع بلمح البصر !!

وللتأكيد على الترقيع هذه مقتبس من كاتب الثغرة

كود PHP:

   this exploit uploads a .jpg file with maliciuos EXIF metadata comptempt,
   it will be evaluated as php code:

   [url]http://[target]/[/url][path]/index.php?template=../../data/tmp_media/suntzu1293.jpg%00
   or
   [url]http://[target]/[/url][path]/index.php?template=../../data/media/1/suntzu1293.jpg%00 


يبين الان ان الشل ياتي بهذا الامتداد suntzu1293.jpg

لذا حاليا اوقفوا التحميل ( ملف الـ upload.php ) اللذي بداخل مجلد الـ includes

وقوموا بحذف هذا الامتداد jpg. + عمل الترقيه الى النسخه الأخيرة 1.7.2

لان ثغرة الريموت تعمل على الاصدار 1.7.1

حمانا الله وإياكم من شرور الحاقدين ..

تقبلوا تحياتي

الله يجزاااك الف الف خير ..

لكن نبي النسخه 1.7.2 مع تعريبهـا لو تكرمـتوا

واذا وجدت طريقة الترقيه يكون أفضل بعد

[ياقلبي]

الخطوات التالية بإذن الله راح تمنع اختراق الفور اميجز :

1 - الترقية للنسخة 1.7.2

2 - حذف ملف upload.php الموجود داخل المجلد includes

3 - ضع ملف الهتآكسس هذا في المجلد data/tmp_media ومجلد data/tmp_thumbnails
http://www.swalif.net/softs/attachme...chmentid=24732

4 - شفر ملف الكونفيق بالزند .

5 - انتبه تعطي اي ملف في الاسضافة ترخيص 777 .

6 - لازم السيف مود on

وبإذن الله الطرق المذكورة كفيلة بحماية الفور اميجز على الاقل من الثغرات الموجودة حالياً

السلام عليكم

اتبع ماقله ديجي توث في هذا الاقتباس وان شالله راح تعطل اي ملف شل وغيرة

مع العلم انك لو فعلت هذه الخطوة لن تمنع من رفع ملف شل راح يقدرون يرفعونه بس لافائدة منه لانة ماراح يشتغل .. يعني بيصور جمبة 4 × 6

وذا بغيت تريح راسك مرة احذف ملف upload.php ولن يستطيع احد رفع ملفات غيرك عن طريق الاف تي بي

للمعلومية : ليس بالضرورة تعطيل رفع jpg يمنع زرع الشيل يقدر بأي امتداد مسموح

ضع حماية على لوحة التحكم للسكربت

راجع موقع المبرمج وقم بعمل الترقيعات والترقيات اولا بأول

وسلامتك

[NaIeF]

الله يجزاك كل خير ياقلبي على التوضيـح

وبيض الله وجيهكم جميعاً ..

بإنتظـار من يأتي لنا برابط التحميل والتعريب للنسخـه 1.7.2

[Smawi.com]

للمعلومية : ليس بالضرورة تعطيل رفع jpg يمنع زرع الشيل يقدر بأي امتداد مسموح

ياهلابك ياقلبي :shy:

بالنسبه للمعلومه الي وضعتها خاطئه

ثغرة الريموت تعمل على امتداد jpg فقط !!

لانها تختلف عن الشل شي بسيط ..

جربها وقم بعمل اي امتداد غير الـ jpg لاحظ انها لن تشتغل !! :nice:

هذا الي حاولت فعله لاكن بالبرمجه واسلوب الهكر ربما كل شي جائز

كان بامكاني اني اضع ثغرة الريموت لكي ترونها وكيف يتم استغلالها !!

لاكن جزمت ان لا اضعها لأن الاهم من هذا كله سيكون هنالك اطفال ربما يقومون بتطبيقها على المواقع العربية !!

لذلك يجب عدم الخوض كثيرا ً حول الريموت وذكر جميع الطرق اللذي تعطل الوصول له

ومنع الاطفال من الوصول له


***************************************************

ولمن يريد امتلاك النسخه الاخيرة من الـ 4images 1.7.2

يقوم بالدخول الى صفحة السكربت من هنا لتحميله

http://www.4homepages.de/4images/download.php

طبعا ً يختار اللغة الانجليزيه ثم يحمل السكربت ..

طيب بتقولون لي حنا عرب وش نبي بالانجليزي

اقول لك لاتستعجل على رزقك :shy:

قم بتنصيب الالبوم على موقعك وتفعيله على السيرفر وبعدها

هذا ملف اللغة العربية بالمرفقات

وبداخله شرح للتركيب


واي استفسارات حاظرين للطيبين

****************************************************
كذلك اتمنى من جميع زوار الموضوع طرح كل مايعرفه عن السكربت من ثغرات و غيرها
لكي يتم عمل الازم
****************************************************


تقبلوا تحياتي

[أيمن الباشا]

الله يجزاكم خير جميعا يا ابطال سوالف ..

[Smawi.com]

و إياك يابو عبد الرزاق

شاكر لك مرورك عزيزي

[أحمد عوض]

عندما اركب صور gif لا يعرض مصغراتها كيف لي ان اجعله يدعم كافة الانماط للصور المتحركه ؟

[Smawi.com]

أحمد عوض
*************************************
طريقة تصغير الصور ليس من اولويات الموضوع
لاكن سأجيبك والرجاء عدم الخروج عن نمط الموضوع
*************************************

عندما ترفع الصوره قم بدخول الى لوحة التحكم
>>>> وقم بعمل المصغرات
وسوف يتم تصغيرها تلقائيا ً


الرجاء عدم الخروج عن الموضوع اخواني !!

[topacts]

السلام عليكم

ههههههههه

خوي سماوي تراك خربتها ------------->

"كان بامكاني اني اضع ثغرة الريموت لكي ترونها وكيف يتم استغلالها !!"
الحين وش اللي حطيتها ؟؟؟؟
مو الثغرة ؟؟؟
ترا صارت مفهومة

وعموما خوي سماوي ثغرة الريموت هذه مو بس على الفور اميج
يقصد بيها اي ثغرة تستغل من قبل مستخدم على الخادم
بس ماهي خاصة بالفور اميج

"جربها وقم بعمل اي امتداد غير الـ jpg لاحظ انها لن تشتغل !!"

صدقني خوي بتشتغل باي امتداد وزي ماوضحت انت ومخك ؟؟

لذلك الحلول مثل ماذكروا الاخوان التشفير وتغير في بعض الدوال
والحماية بالهتأكسس وايضا الغاء التصاريح