[ دعوة للنقاش ] - اختراقات المنتديات و المواقع

[Q8-Host]

السلام عليكم و رحمة الله و بركاته ..


الإخوة الكرام ..

ما دفعني لكتابة هذا الموضوع هو ملاحظتي للإختراقات المتكررة للكثير من المواقع و المنتديات في هذه الأيام ..

فأحببت ان اضع بعض النصائح و الإرشادات التي قد تساهم في الحد منها ..


سيناريو الأختراق :

ما يتم في هذه الأيام من اختراقات يمشي على سيناريو واحد من العمل .. و بأختصار .. يتم رفع ملف شيل PHP Shell على الموقع او المنتدى .. ثم يتم استدعاؤه .. يمكن الشيل المخترق من الدخول على ملفات المساحة .. اول ما يتم الدخول عليه هو ملفات config.php للحصول على بيانات قواعد البيانات .. ثم يقوم بالبحث عن مجلدات ذات ترخيص 777 حيث انه من المعروف انها تسمح برفع الملفات عليها .. و ما فائدة هذه الخاصية ؟ .. تسمح له برفع سكريبت يدخله على قاعدة البيانات ليقوم بما يريد .. سكريبت مشابه لـ phpMyAdmin .. اذا قد وضع يده على المنتدى و السكربتات الموجودة على الموقع ..
ابسط ما يمكنه فعله .. دخول الجدول الخاص بأعضاء المنتدى و من ثم تحديد المشرف العام و تغيير بريده الإلكتروني الي بريد المخترق و عمل استعادة لكلمة السر تجعله يحصل على كلمة السر الجديدة و بالتالي ادارة المنتدى ..

اعلم اني قد قمت بفضح الطريقة .. و تعليمها لمن لم يمكن يعرفها و لكن القصد هو التنبيه و التحذير من هذه العملية السخيفة بوجهة نظري ..

اذا .. ما العمل ؟

1- كثر الحديث عن السيف مود و اهمية تفعيله .. كما يقول العديد من الآشخاص انه لا حاجة له ..
اما وجهة نظري فهي كالتالي .. السيف مود لا يمنع الإختراق بصفة تامة .. الفكرة تكمن في تعطيل بعض الدوال الخطرة المعرفوة لدى الجميع .. و يتفق معي اصحاب الإستضافة بأن تشغيل السيف مود يسبب بعض المشاكل في بعض السكربتات .. افضل ما يمكن عمله هو عدم تفعيله . مع تعطيل بعض الدوال الخطرة .. كما يمكن تركيب phpsuexec لتوفير المزيد من الحماية ..

2- ثغرات ال php .. بصرحة لا اعلم ان تم الحديث عنها او لأ .. فان تم .. يكون كلامي مجرد تنبيه
توجد ثغرات متعددة بالphp و اشهرها دالة copy() حيث تسمح بدخول المستخدم عبر طرق معينة لأي ملف من ملفات السيرفر و ليس ملفات الموقع فقط .. اذا كل ما يجب فعله هو الحصول على كل ملف config.php متواجد على السيرفر لإكمال عملية الأختراق للسيرفر بأكمله .. الثغرة التي اتحدث عنها اكتشفت في منتصف ابريل المنصرم .. و هي تستغل مكتبة zlib - zip library و بالخصوص دالة الضغط compress للقيام بأستدعاء الملف المراد الدخول عليه من قبل المخترق و نسخه لمجلد ال tmp و من ثم اخراجه output للمخترق .
فلك ان تتصور خطورة استدعاء ملف /etc/passwd


3- ثغرات السكربتات و المنتديات .. هي السبب الرئيسي في اختراق المواقع و المنتديات للأسف حيث لا يقوم صاحب الموقع و المنتدى بتحديث سكربتاته المستخدمة على الموقع الا بعد ان يأكل عليها الدهر و يشرب .. و بعد ما يطيح الفاس بالراس .. لن يفيد الندم .. و المشهور حاليا ثغرة XSS المكتشفةمن قبل IMEI التي تستغل حقل البريد الإلكتروني في الملف الشخصي للعضو في نسخ منتديات vBulletin .. فأناشد اصحاب الموقع بأهمية التحديث و الترقية كلما امكن ذلك و لذلك لكافة السكربتات ..

4- تصاريح الملفات و المجلدات .. كما ذكرت بالأعلى .. المجلدات ذات تصاريح 777 تسمح بتحميل الملفات عبر المتصفح و ذلك من خلال الشيل .. نصيحتي هي بعدم استخدام تصريح 777 نهائيا طالما يمكن تجنب ذلك .. العديد من اصحاب المواقع راح يقولون عندي مركز تحميل و عندي سكربت و عندي و عندي .. الخ .. و لازم يكون تصريحه 777 .. بهذه الحالة .. قم بوضع ملف

كود:

.htaccess

يحمل الخيارات التالية :

كود:

<FilesMatch "\.(pl|cgi|py|php|php3|php4|php5|phtml?|shtml?|html?)$">
deny from all
</FilesMatch>

هذا الملف سيقوم بمنع استدعاء الملفات ذات الإمتدادات السابقة عبر المتصفح و بالتالي لن يستطيع المخترق من الدخول عليها و ان قام برفعها .. و هو ما يقوم بحل مشكلة رفع الشيل الى حد كبير ..
كما لا مانع من حماية المجلدات الحيوية في الموقع بجدار ناري يمنع دخول المتطفلين ..

5- ما بعد الإختراق .. يغفل العديد من اصحاب المواقع عن هذه النقطة المهمة جدا .. و هي مرحلة استعادة الموقع .. قد يقوم صاحب الموقع او السيرفر بأغلاق الثغرات بعد ان يتم اختراقه .. و بعد زمن قليل يجد نفسه مفاجئ بأختراق آخر لنفس الموقع او السيرفر مع انه قد قام بأغلاق كافة الثغرات و استعاد الموقع .. فكيف تم ذلك ؟ ..
ابسط ما يمكن للمخترق فعله هو زراعة اسم مستخدم جديد في المنتدى يحمل عضوية في مجموعة المشرف العام .. يمكنه من العودة من العودة و اعادة عملية الأختراق مرة اخرى .. كما قد يقوم المخترق بزرع عدة ملفات شيل على المساحة .. اذا انمسح احد منها .. لجأ للآخر .. "و عادت حليمة لعادتها القديمة" .. كما اشدد على اهمية تغيير كلمات السر و خاصة بيانات قواعد البيانات من خلال لوحة التحكم .. لما لهذه الحركة من تاثير مهم في عملية منع الإختراق مرة أخرى ..

اتمنى ان اكون قد قمت بتوضيح الصورة لديكم ..
و ان كان الموضوع مكرر .. فأطلب السماح لذلك ..

ماجد ..

[TrustWork]

يعطيك العافية ماجد على هل مجهود الطيب

حبيت اضيف لازم يستخدمون ال mod_security لانة مهم جدا ايضا

بالاضافة الى ان هناك طرق امنية كثيرة صعب ذكرها لانها تختلف من سيرفر الى سيرفر

[Q8-Host]

Sn3s

شكرا لردك ..
اكيد مود السيكيوريتي مهم بعد ..
و في اخوان نزلوا رولز تزيد من مستوى الحماية ..



ماجد ..

[كارم ابراهيم]

حل سهل وحلو ويغيظ المخترق تشفير الكونفنج وبعدها سوف يضحك على نفسه من الغيظ

ههههههههههههههههههه

[Q8-Host]

NoOoOoR

نقطة جميلة جدا ..
تشفير ملف كونفيق بالزند ..
و بالتالي لن يظهر للمخترق محتوياته ..
شكرا لمرورك عزيزي ..


ماجد ..

[TrustWork]

التشفير حل جميل

لاكن مشاكل الاختراقات تجي مثل ما قال ماجد عدم تحديث السكربتات


و استخدام سكربتات مضروبة و كثير ما نصادف نفس هل حالات


لو كل واحد يهتم بموقعة و بامان الموقع و يحدث البرامج الي يستخدمها و يساعد السيستيم ادمين

ما كان يصير فية اختراقات

[كارم ابراهيم]

طيب مهوا ان لو شفرت الكونفنج يبقى هيخترقنى اازاى وهو مش هيعرف يدخل الداتا بيس اساسا

[Eng. Amr]

تعليق بالتفصيل على ما قاله الأخ Q8-Host

أول نقطة تم ذكرها أتفق معاك بها 100% و أعتقد أن متابعة الشيلات و أدوات الإختراق لمعرفة الدوال المستخدمة هو الحل

ثاني نقطة الثغرة مكتشفة قبل منتصف أبريل :P المهم أنه الحديث عن ثغرات الphp نفسها ليس له أهمية هنا لأنها قليل ما توجد ، بالإضافة إلى أن راعي السرفر لا يستطيع أن يقوم بأي شيء إلا بعد أن تكون الثغرة public لذا فمتابعة مواقع الأمن يومياً هي أهم شيء

النقطة الثالثة ثغرات الXSS والSQL فالحل للأولى هو متابعة الإسكربتات بصفة مستمرة و الثانية فالحل لها كما قال الأخ Sn3s وهو بالmod_security و طبعا مع عمل إعدادات مخصصة له لأنه في رأي لا أهمية له طالما أن الإعدادات مجرد copu and paste

نقطة 4 كلام جميل ولا زيادة أكثر من ذلك

بخصوص النقطة 5 فهي حلولها بسيطة و هي بإستخدام أمر مثل find يمكنك أن تجد الشيلات عن طريق إستخدام الدوال التي بها ، لكن هذا ليس كافيا فللاسف هناك بعض السرفرات يتم رفع شيل على موقع أخر غير الموقع المستهدف ، لذا فحماية السرفر هي أولاً و أخيراً المسؤولة عن الإختراقات ، فثغرة الIPB الأخيرة والتي تسمح بتنفيذ أوامر على السرفر أخترق بها أكبر مواقع الأمن ، و العلة هنا ليست على الIPB فقط بل على السرفر أيضاً لأن بعض السرفرات لم تتأثر بالثغرة و التي هي بالطبع لا تسمح بتنفيذ أوامر معينة بالإضافة إلى تشغيل خاصية ScanPOST الخاصة بالمود سيكيورتي و التي منعت إستغلال تلك الثغرة بسبب إعدادات السرفر


كلمة في أذن شخص ما يعرف نفسه ، أن تشعر بالجهل حين تسأل أفضل من أن تشعر بالجهل طوال حياتك و أعتقد أن فك تشفير ملفات الكونفنج يعلمه الكثيرين.. و موضوع قديم كمان

هناك أشياء أخرى للحماية لكن أعتقد أن النقاش هنا بخصوص المواقع و المنتديات فقط و ليس الWev Servers بشكل عام لذا فلا أعتقد أن هنا مكانها الصحيح

سلام .

[ابو مشعل]

**************
الاخ NoOoOoR . نرجو التزام الادب في الحوار و عدم الدخول في مهاترات.
**************

[messenger]

اشكرك على الموضوع المهم جدا

وعندي معلومات عن بعض الطرق اللتي يستخدها الهكر والتي اخطرها بلا شك

بمجرد رفع شل على احد المواقع المتواجده بالسيرفر وكانت حالة السيف موقع on

أو OFF فهذا ليس عائق امام الهكر فهناك طريقة يستطيع من خلالها الهكر من إختراق جميع المنتديات

التي على نفس السيرفر.....وذلك برفع ملف يفتح ثغرة بالسيرفر تمكن الهكر بعرض ملفات الكونفق

ومن ثم رفع ملف سكربت mysql يتم وضع المعلومات التي حصل عليها من الكونفق والدخول على قواعد المنتدى

وبهذه الطريقة يتم تطبيقها على جميعا المنتديات التي على السيرفر

الحل لهذه الثغرة وعدم السماح للهكر بتحميل قواعد منتداك كل ما عليك فعله تشفير ملفات الكونفق ببرنامج الـ zend مهم جدا


أما إذا كان السيف مود في حالة OFF وكان الصلاحية في الشل nobody

فبإستطاعة الهكر اختراق جميع المواقع على السيرفر بعكس لو كانت الصلاحية user فإنه

يخترق الموقع المرفوع عليه الشل فقط...


هذه اهم الطرق المستعمله في الوقت الحالي

وانا شاهدة بأم عيني سيرفر كامل تم اختراق كل المنتديات التي كانت عليه

بالطريقه التي شرحة في مقدمة الكلام والذي شد انتباهي ان حالة السيف مود ON

وصلى الله على سيدنا محمد

[alsahernet]

بارك الله فيكم جميعاً
الله لا يحرمكم الاجر

[أبـو خــــالــــد]

قبل فترة بحثت في الانترنت عن برنامج او سكربت يوضع في الموقع ويعمل بحث ويحدد ثغرات موقعك
كما ان هناك برنامج يقوم بتحديد جميع المجلدات التي تحمل التصريح 777

البرنامج الاول والثاني مهمة جدا جدا لو احد الاخوة وفرها لنا

راح نحدد ملفاتنا المفتوحة وثغراتنا واختبارها بعد العمل بالنصائح، وبكذا تخرج لنا ورشة صيانة متكاملة للموقع ومميزة

بعد كذا نقول حنا عملنا بالاسباب والباقي بيد الله

[Q8-Host]

Eng. Amr

ثاني نقطة الثغرة مكتشفة قبل منتصف أبريل :P المهم أنه الحديث عن ثغرات الphp نفسها ليس له أهمية هنا لأنها قليل ما توجد ، بالإضافة إلى أن راعي السرفر لا يستطيع أن يقوم بأي شيء إلا بعد أن تكون الثغرة public لذا فمتابعة مواقع الأمن يومياً هي أهم شيء

ثغرات PHP خطرة جدا .. خاصة ان كان ترقيعها يتم عن طريق Snapshot من قبل مطوري اللغة .. و بالتالي أغلب مديري السيرفرات لن يقوموا بالترقيع الا بعد نزول نسخة Stable Release ..

اما عن النقطة 5 .. فالحديث عنها طويل .. و طرق الترقيع سهلة جدا .. و لكن كثير ما يتم اغفالها للأمانة اخي الكريم .. و هنا لزم التنبيه ..



ماجد ..

[Q8-Host]

messenger

بالضبط ما كنت اريد التنبيه عنه ..




ماجد ..

[Q8-Host]

alsahernet

ايانا و اياك اخي الكريم ..
شكرا لمرورك ..




ماجد ..