السلام عليكم
كثرت في الفترة الاخيرة الاختراق والعبث في قواعد البيانات عن طريق رفع ملفات php وزرع اوامر لتدمير قاعدة بيانات المنتدى من نوع vBulletin 3.5 ،
توصلنا لحل تشفير ملف الكونفيق ولكن بدون جدوة لان بالامكان الوصول الى قيم متغيرات ملف الكونفيق باكثر من طريقة ، بل وصل البعض لبرمجة دوال لكشف معلومات ملف الكونفيق ،إذا ماهو الحل !!
فالحل هو التشفير لمجموعة من الملفات + تغير اسم ومكان ملف الكونفيغ + تغير اسماء المصفوفات الموجودة داخل ملف الكونفيق
لذا قمت بكتابة هذا الموضوع لضمان حماية اكثر للوصول الى معلومات قاعدة البيانات :
قبل كل شي قم باخذ نسخة احتياطية من الملفات التي سوف نجري التعديل عليها
أولاً:
سوف نقم بتغير اسم ومسار ملف الـconfig.php
وايضا اسم المصفوفة الاساسي
الخطوات اولا قم بفتح ملف:
includes/ class_core.php
وابحث عن :
وقم بتغير اسم الملف و المساركود PHP:
include(CWD . '/includes/config.php');
هكذا مثلا :
بقي علينا تغير اسم المصفوفة لملف الكونفيقكود PHP:
include(CWD . '/includes/cron/myjop.php');
في نفس الملف ابحث عن
وقم بتغير اسم المصفوفة الى الاسم الذي يناسبكـكود PHP:
$config = array();
مثلا هكذا :
كود PHP:
$amseriese = array();
ايضاً قم بالبحث عن :
وقم بتغيره الى اسم المصفوفة الذي اخترته :كود PHP:
$this->config =& $config;
هكذا:
كود PHP:
$this->config =& $amseriese;
وبعد هذا احفظ الملف ،
الان نتجه الى ملف الـ'/includes/cron/myjop.php'
طبعاً هذا هو ملف الكونفيق الجديد وافتحه
وقم بإعادة تسمية المصفوفة من config الى الاسم الذي اخترته amseriese
مثلاً
قم باعادة تسميته الى :كود PHP:
$config['Database']['dbname'] = 'sudabest';
وقم بتغير جميع اسماء المصفوفات بهذه الطريقهكود PHP:
$amseriese['Database']['dbname'] = 'sudabest';
واحفظ الملف في نفس مساره الذي اخترته .
الان إنتهينا ، الان تبقى لنا التشفير ، قم بتشفير الملفيين وارفعهما وقل تعال يا كيفين العرب واعرف ايه هو اسم قاعدة بياناتي
احبذ طبعا ترك ملف تمويهي config.phpببيانات مزيفه لكي يتسلى كيفين متنك العرب
قم بتغير اسماء المتغيرات التي وردت في الامثلة الى ما يناسبكـ
أنصح بالتجربة أولا في منتداكـ الخاصة وانا غير مسوؤل من اية أخطاء قد تحدث نتيجة هذا التعديل
رد مع اقتباس
المشاركة الأصلية كتبت بواسطة e3sarcom
