السلام عليكم
كثرت في الفترة الاخيرة الاختراق والعبث في قواعد البيانات عن طريق رفع ملفات php وزرع اوامر لتدمير قاعدة بيانات المنتدى من نوع vBulletin 3.5 ،
توصلنا لحل تشفير ملف الكونفيق ولكن بدون جدوة لان بالامكان الوصول الى قيم متغيرات ملف الكونفيق باكثر من طريقة ، بل وصل البعض لبرمجة دوال لكشف معلومات ملف الكونفيق ،إذا ماهو الحل !!
فالحل هو التشفير لمجموعة من الملفات + تغير اسم ومكان ملف الكونفيغ + تغير اسماء المصفوفات الموجودة داخل ملف الكونفيق
لذا قمت بكتابة هذا الموضوع لضمان حماية اكثر للوصول الى معلومات قاعدة البيانات :
قبل كل شي قم باخذ نسخة احتياطية من الملفات التي سوف نجري التعديل عليها
أولاً:
سوف نقم بتغير اسم ومسار ملف الـconfig.php
وايضا اسم المصفوفة الاساسي
الخطوات اولا قم بفتح ملف:
includes/ class_core.php
وابحث عن :
كود PHP:
include(CWD . '/includes/config.php');
وقم بتغير اسم الملف و المسار
هكذا مثلا :
كود PHP:
include(CWD . '/includes/cron/myjop.php');
بقي علينا تغير اسم المصفوفة لملف الكونفيق
في نفس الملف ابحث عن
كود PHP:
$config = array();
وقم بتغير اسم المصفوفة الى الاسم الذي يناسبكـ
مثلا هكذا :
كود PHP:
$amseriese = array();
ايضاً قم بالبحث عن :
كود PHP:
$this->config =& $config;
وقم بتغيره الى اسم المصفوفة الذي اخترته :
هكذا:
كود PHP:
$this->config =& $amseriese;
وبعد هذا احفظ الملف ،
الان نتجه الى ملف الـ'/includes/cron/myjop.php'
طبعاً هذا هو ملف الكونفيق الجديد وافتحه
وقم بإعادة تسمية المصفوفة من config الى الاسم الذي اخترته amseriese
مثلاً
كود PHP:
$config['Database']['dbname'] = 'sudabest';
قم باعادة تسميته الى :
كود PHP:
$amseriese['Database']['dbname'] = 'sudabest';
وقم بتغير جميع اسماء المصفوفات بهذه الطريقه
واحفظ الملف في نفس مساره الذي اخترته .
الان إنتهينا ، الان تبقى لنا التشفير ، قم بتشفير الملفيين وارفعهما وقل تعال يا كيفين العرب واعرف ايه هو اسم قاعدة بياناتي
احبذ طبعا ترك ملف تمويهي config.phpببيانات مزيفه لكي يتسلى كيفين متنك العرب
قم بتغير اسماء المتغيرات التي وردت في الامثلة الى ما يناسبكـ
أنصح بالتجربة أولا في منتداكـ الخاصة وانا غير مسوؤل من اية أخطاء قد تحدث نتيجة هذا التعديل