 |
وعليكم السلام ورحمة الله
العندليب دائماً ما تستهوينا مواضيعك وتفيدنا ، جزاك الله عنا كل الخير
بالنسبة لموضوع الإستضافة وعيوبها
بما أن السيرفر محمي وقام أحدهم بحجز مساحة مثلاً 100 ميقا لغرض إختراق موقع على نفس السيرفر ... هل حماية السيرفر تقوم بالازم أم لا ينفع ذلك ! ؟
بالنسبة للتلغيم الإستايلات !
هذا الموضوع يثير بلبلة حيث إن الكثير ممن يقدمون إستايلات مجانية !
هل سبق وأن شاهدت إستايل عربي أو أجنبي يحوى هذه الأكواد ؟
__________________
اللهم أرحم والدي وأغفر له وأدخله الجنة من أوسع أبوبها يارب
my Email : romntic (@) gmail.com
أرا الخدمات التقنية
بارك الله فيك اخي
أسعد الله أوقاتكم بكل خير
وحياكم الله مره أخرى
نبدأ بأخر مداخله
الأخ الرومانتك
حياك الله وبياك وشكرا على إطرائك وهذا من ذوقك
عزيزي تقول في ردك إذا كان السرفر محمي . فما هي خدمات هذا السرفر وماهو أسلوب الحمايه المتبع لهذه الخدمات حتى أجيبك على سؤالك ؟
أغلب المستضيفين إن لم يكن أغلبهم يعتمد إعتماد كلي على لوحة Cpanel حتى يريح نفسه من عناء المتابعه لسرفره فأكثرهم يسعى للربح المالي دون النظر في الخدمه التي يقدمها وبعضهم يقوم بتفعيل خاصية الـ SafeMode على الـ php ويتشدق بأن خادمه يحمل أعلى المستويات بالحمايه وأن العميل لديه مرتاح ،،، الخ وكلها أساليب لجلب العميل الغير مطلع الذي ينهج خلف الشعارات البراقه ولكن إن دققت في عمل الخدمات الأخرى ستجد أنها مليئه بالعيوب الأخرى وهذه من الأكاذيب التي ينهجها المستضيفين بكل صراحه ولو كانوا يسعون في عملهم هذا لمرضاة الله أولاً لوجدوا ان مايقومون به غش وتدليس على العميل المسكين فأغلب المستضيفين العرب ليس متخصص ولا يحمل أي رخصه لمزاولة العمل وياليت يتحفنا أحدهم ويضع لنا بيانات رخصته التجاريه لمزاولة مهنة الاستضافه فأغلبهم إذا وقع في مشكلة ما بخادمه قام بإغلاق أي هاتف أو وسيلة اتصال به حتى لا يزعجه العميل بالسؤال.
وحتى لا نخرج بالموضوع عن المستضيفين وأساليبهم فسوف أضرب مثالاً واضحاً موجود عند أغلبهم .
فعلى سبيل المثال خدمة قواعد البيانات MySQL التي تأتي مع لوحات الـ Cpanel ولوحات أخرى أيضاً تستخدم عنوان موحد للإتصال بقواعد البيانات وهو localhost وتجد أن كل المواقع المشتركه في نفس الخادم تستخدم نفس هذا العنوان وهذا عيب كبير جداً ولو كانوا المستضيفين على إطلاع وفهم لما يجري بخدماتهم لأصبحت الإستضافه بأمان
فمن موقعي بإمكاني أن أضع عنوان الاتصال localhost واسم المستخدم الخاص بك وكلمة المرور الخاصه بك وسوف أتصل بكل سهوله واتصفح قواعد بياناتك فهل موقعك في أمان الان ؟
كان بالاحرى والأصح أن يعطى كل عميل عنوان مستقل للاتصال بالقاعده من مساحته فقط ولا يمكنه من استخدام أي عنوان اخر.
أما بخصوص ملاحظتك عن تلغيم الاستايلات
نعم شاهدت ورأيت الأسلوب والطريقه والا لما فتحت هذا الموضوع وتكلمت فقد أصبحت مدركاً أن مثل هذه المواضيع التي أطرحها تستغل من قبل ضعاف النفوس لذلك أصبحت أبتعد عن طرح مثل هذه المواضيع الا بعد حدوثها وها أنا في هذا الموضوع أنبه وأحذر فالفكره التي أخترعوها شبيهه بحد كبير بفكرة ( الدوده البرمجيه ) ( Worm ) التي ينتشر عملها من شخص الى شخص لعمل جزء ما فافرض على سبيل المثال أن صديقك الذي يحب الخير لك قام بإعطائك استايل رأه في أحد المنتديات بحسن نيه وبعد مده تم اختراق منتداك من أحدهم فمن الجاني في هذه الحاله ؟!؟بالنسبة للتلغيم الإستايلات !
هذا الموضوع يثير بلبلة حيث إن الكثير ممن يقدمون إستايلات مجانية !
هل سبق وأن شاهدت إستايل عربي أو أجنبي يحوى هذه الأكواد ؟
الأخ m7bobh حياك الله
لا أدري ما هو أنسب حل في نظرك ؟الله يجزاك خير اخوي ، بصراحه مواضيعك رائعه كالعاده
ولكن الان هل يجب علينا الترقيع بالنسخ الجديده للـ vBulletin ?
نترك المنتدى كما هو أم نسعى للتأمين ؟
الاخوان الكرام خالد العازمي و N4jD و hagryyy
شرفنا تواجدكم وبارك الله فيكم
الأخ الكريم البروفسور
حياك الله وبياك وزادنا الله وإياك بالرضا والعفاف
بخصوص ماذكرت عن البرنامج الموجود بالرابط أعلاه فالحقيقه لم أطلع عليه سابقاً ويبدوا أنه مشروع كبير فهل لك أن تذكر لنا المداخلات من قبل المطورين والتي يتحدثوا فيها عن المشكله الشبيهه بمشكلة الـ vbulletin ؟
اما عن المتغيرات المتنكره nested_variables فهذا إسم أطلق عليها من قبل مطوري الـ php عندما قاموا بتجاربهم عليها وهي في الأساس متغيرات وليست دوال ولكنها تعتبر عيب برمجي قديم حيث أنهم في الإصدارات القديمه كانوا يستخدمون الأقواس { } لحساب قيم المتغيرات فكانوا يضعون إسم المتغير بين هذه الأقواس فكانت هذه الأقواس شبيهه بعمل دالة الـ eval ولكن بشكل محدد وليس واسع فحاولوا الإستغناء عن هذه الأقواس في الإصدارات الجديده بوضع المتغير بين علامتي تنصيص حتى يتم إحتساب قيمته وطبعاً جعلوا الإثنان يعملون في وقت واحد وتم التوصل الى الـ nested بالحيله
حسب اطلاعي في الـ php أنهم حلوا مشكلتها في اصدار 6 من الـ php ولكن النسخه لازالت تحت التطوير الى الان.
موفقين
__________________
al3ndaleeb[@]uk2.net
بداية جعله الله عام هجري كله خير لك وهجره جديدة إلى مرضاة الله عزوجل
عند عمل الترقيع
الترقيع:
الحقيقه تعبت كثيراً من إيجاد طريقه فعاله للترقيع وفي نظري أفضل ترقيع لمنتديات الـ vbulletin كالتالي:
1- إفتح ملف functions.php وابحث عن السطر التالي:
كود PHP:return $template;
2- استبدله بالتالي:
كود PHP:$temp = preg_replace('#[\r|\n|\s|\t|\0]#i', '', $template);
if(preg_match('#["\.|\{\$|\}\}]#i', $temp)){
$template = '';
//vbmail();
}
return $template;
بعد رفع الملف تظهر الصفحة بيضاء
جزاكم الله خيرا
__________________
أكاديمية ريبير
طريقك نحو إحتراف صيانة هاردوير الكمبيوتر واللاب توب
http://www.reepair.net/vb
يعطيك العافية عندل ..
والله مالي ذيك الخبرة في الـ php .. بس كنت دايم استغرب من لما أعدل قالب من وجود علامة الدولار .. وأوامر الـ php داخل وسوم الهتمل
-------
س : هل الترقيع المذكور حل نهائي ؟
س : هل بالإمكان حصر الدوال اللي ممكن يستخدمها المخترق في تلغيم القوالب للبحث عنها ؟ وإن كانت الإجابة بـ لا .. اتمنى جمع الأكواد المتداولة حالياً في تلغيم القوالب في أوساط الهكر .. لأن الأغلبية مالهم علم مجرد نسخ لصق ويمشي على الدروس اللي يتلقاها من أربابه ..
__________________
إستخدم ملفك الخاص لكتابة توقيعك
الاخ NOOOOR
وكل سنه وأنت طيب
كان يجب عليك فحص المنتدى قبل عمل الترقيع فهل فحصته بالبحث في القوالب؟
ذكرت في ردي أن الترقيع خاص بنسخ 3.0 ولم أقم بالتجربه على النسخ الأخرى فهل نسخة منتداك من جيل 3.0 ؟
يبدو والله أعلم أن منتداك مصاب سابقاً :court:
الاخ majedona
حياك الله ومنور وشكراً على الاسئله الجميله
لا طبعاً لأن الترقيع يرجع صفحه بيضاء في حالة وجود أحد الطريقتين في أي قالب.س : هل الترقيع المذكور حل نهائي ؟
والأفضل أن يتم مسح جميع القوالب والاستايلات ومن ثم تركيب الاستايلات السليمه مره أخرى وبعدها يتم نقل القوالب من نظام الجداول الى نظام الملفات وعمل تصريح للقراءه فقط على هذه الملفات ويفضل أن يتم عمل مجلد لها خارج الـ DocumentRoot أو كما يسميه البعض public_html .
كل دوال الـ php التي تأتي مع النسخه القياسيه للـ php .س : هل بالإمكان حصر الدوال اللي ممكن يستخدمها المخترق في تلغيم القوالب للبحث عنها ؟ وإن كانت الإجابة بـ لا .. اتمنى جمع الأكواد المتداولة حالياً في تلغيم القوالب في أوساط الهكر .. لأن الأغلبية مالهم علم مجرد نسخ لصق ويمشي على الدروس اللي يتلقاها من أربابه ..
__________________
al3ndaleeb[@]uk2.net
العندليييب
جزاك الله خير
ماترجع إلا ومعك موضوع فيه فائدة كبيييرة
وراح أشيك على الإستايل اللي عندي
وأركب الترقيع
وأرجع أقولكم وش اللي صار وياي
تحياتي لشخصك الكريم ,,
و الله للاسف اني ما اذكر لان الثغره اصلاً لها فتره طويل شوي
حدود معرفتي و يقيني ان اكثر من يفيدك هو صاحب موقع hardened-php.net لانه هو نفسه من نزل ترقيعة للثغرة
و عشان اكون واضح اكثر اول مره سمعت عن متغير nested كان في هذاك الموضوع لكن ما توسعت ابداً فيه
و كان اغلب حوارهم عن nested variables
و فيه نقطة ثانية و هي مهمه بعد و بتساعد الاخوان على انهم يعرفون ما اذا كان الاختراق يتم من خارج و الا داخل السيرفر
اذا كان اي احد منكم يستخدم لوحة تحكم cpanel فصعب انه يتصل اي شخص بقواعد البيانات من خارج السيرفر
الا اذا المخترق كان له صلاحية دخول الى لوحة التحكم و اعطى صلاحية للاي بي حقه انه يتصل من خارج السيرفر عشان يتمكن من الوصول لقواعد البيانات
بمعنى اخر ان المخترق عنده حساب في نفس السيرفر او انه عنده صلاحيه للوصول لملفاتك بانه يكون رفع بعض الملفات القذرة الى موقعك
__________________
... رَبِّ اشْرَحْ لِي صَدْرِي وَيَسِّرْ لِي أَمْرِي وَاحْلُلْ عُقْدَةً مِّن لِّسَانِي يَفْقَهُوا قَوْلِي ...
http://onetwo.arabform.com
بارك الله فيك أخي العندليب
مشاركاتك جميله كما تعودنا عليك
السلام عليكم
موضوع جميل
جزاكم الله خيرا أخي العندليب وجعل ما كتبت في ميزان حسناتك ورزقك الفردوس إن شاء الله تعالي
__________________
أحمد أبو الدهب
كلما أدبني الدهر.. أراني نقص عقلي
وكلما إزددت علما .. زادني علما بجهلي
معا لدعم ال php في مصر
www.phpegypt.com
رائع جدا بارك الله فيك
__________________
وفقنا الله وإياكم لكل خير
سأصبر حتى يعجز الصبر عن صبري
وأصبر حتى يحكم الله في أمري
وأصبر حتى يعلم الصبر أنني
صبرت على شيء أمر من الصبر
جزاك الله خير على مجهودك الرائع ..
وبارك الله فيك ..
__________________
استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور
موضوووع كبير من اخ رائع ومحب
اشكرك ولي عودة لاستكمال الموضوع والردود
جزاك الله خير
أخي العزيز العندليب
شكراً لك على ماتقدمه لنا ولجميع العرب
أخي نفس هذا المشكلة حصلت لي في استايل حيث كان الفيروم هوم يعرض معلومات للمخترق في الصفحة الرئيسية لكن دخول لوحة التحكم والأقسام الاخرى للمنتدى اذا كنت عارف رقمها تفتح ومافي مشكلة
فقمت بحذف الاستايل وتركيبه من جديد فعاد كل شئ من جديد ( هل كلامي نفس هذا التلغيمات )
وأيضاً أريد أسألك
كيف أقدر أفحص التمبلتات وانت عارف انها كثيرة جداً ، وأيضاً كيف أفحص الـ phpmyadmin في قاعدة المنتدى اذا كان يوجد هناك ...
خالص تحياتي لك ......
ضوابط المشاركة
رد مع اقتباس
