اختراق المنتديات وكيفية الحماية (قضية ونقاش)

[u1901]

كثر الحديث في الاونة الاخيرة عن اختراق المنتديات ... وماتاتي به من مشاكل ومصائب للاسف

ولفد كثر الان الاشخاص الذين يعرفون الطرق التي يتم بها اختراق المنتديات مما زاد الطين بلة ..

فمثلا من المنتديات الشهيرة التي تم اختراقها منتديات الكواكب (للاسف ) ومنتديات اهليز (نعمة ) وايضا منتديات الحلم ، لاحظوا أنه كل المنتديات السابقة كان فيها صراصير ( يسمون فيها هاكز وكراكز الله يكفينا شرهم ) ..

ولذلك احببت ان افتح هذا الموضوع لايجاد لعلنا ان نجد حلا لهذه المشكلة والمصيبة التي تقض مضجع كل من يملك منتدي في موقعه ..

قي الواقع سيكون كلامي عن اربع نقاط :
1-العصائب التي تحصل عند اختراق المنتديات ..
2- ماهو اكثر نوع من المنتديات يتم اختراقه؟
3-طرق الاختراق ..
4-طرق الحماية ..

وفي جميع النقاط اود كلا من الاخوة المبرمجين اصحاب العقول المتفتحة المساعدة في تغطيتها فضلا لاامرا

اخص بالذكر من هؤلاء
الاخ مبرمج
الاخ الوطواط
الاخ JB007
الاخ زاجل
الاخ مبسوط
الاخ جنتل

النقطة الاولي:
المصائب التي تحصل عند اختراق المنتديات
من هذه المصائب :
1-للاسف من الاشياء الطبيعية ان يسجل بعض المبتدئين في عالم الانترنت بنفس كلمة المرور التي تخص بريده وعندما يتم اختراق المنتدي يتم ابتزازه بطريقة تهديدغير مباشرة ثم احتلال بريده بدون هوادة ..واكثر من يتاثر بهذه المشكلة هم (الفتيات) للاسف الشديد ..


2-الحصول على معلومات شخصية كثير بالمستخدمين والتجسس على خصوصياتهم (كارثة) ..


بالنسبة للنقطة الثانية ، اكثر المنتديات التي يتم اختراقها هي الvb بينما من النادر ان نسمع عن اختراق wwwthreads ، لا لسبب الا ان المواقع التي تستخدمه قليلة ..وحتي منتدي الubb لم نسمع من قبل انه تم اختراقه ..

النقطة الثالثة
في الواقع لم اعلم عن طرق لاختراق المنتديات الا التالي :
1- عن طريق عبارة SQL ويشترط ان يعرف الشخص لغة SQL بالاضافة الي معرفة اسم قاعدة البيانات ..
2-توفر بعض المنتديات ارفاق ملفات ويقوم هؤلاء الصراصير (الكراكز ) بارفاق بيضهم (السيرافرات ) عن طريق هذه الخاصية حيث يقومون بارسال سيرفر ومن ثم الاتصال عن طريق برنامج admin له ..
3-اختراق جهاز صاحب الموقع نفسه والحصول على معلومات موقعه ومعلومات الftp ..
بالنسببة للنقطة الرابعه طرق الحماية :
1- عدم وضع موقعك على سيرفرات NT ..لكثرة الثغرات في الIIS الا كان الموقع يجري تحديث دوري للIIS باخر التحديثات له .
2-منع خاصية تحميل ملفات zip او exe واجراء فحص للملفات التي يتم ارسالها ، والتشديد في التراخيص للملفات ..
3- بالنسبة للحماية من عبارات SQL فالمسئول عن ذلك كله هو مبرمج السكربت نفسه فعليه ان يفحص نوع البيانات للقيم المرسلة للصفحة...
4- يجب ان يكون صاحب الموقع حريصا على حماية جهازه الشخصي باقوي الطرق الممكنة (تركيب Firewall وبرنامج مكافحة فيروسات يتم تحديثه دوريا ..

وهذا واتمني من اي احد لديه درايةبثغرات البرامج وعلمه بهذا الامر المشاركة في هذا الموضوع والادلاء بدلوه ولو بكلمة رجاء الي الاخوة المبرمجين في سوالف والذين لديهم دراية بالتفصيل بهذا الموضوع

اتمني ان لااعود الي هذا الموضوع المرة القادمة الا واجد شخصا شارك ولو بثغرة وكيفية الحماية ..
وماني مقهور على شي الا قهري على انه مجموعه صراصير (يسمون نفسهم هاكرز ) يسوون هذي المشاكل وياذون خلق الله بدون مصلحة لا ادينهم ولا امتهم انما لفرد العضلات والابتزاز ، والتجسس

[AL-MSAFER]

مساء الخير

تحياتي اخوي albaity

الله يعطيك العافية على هاللمحة الجميلة وماقصرت عزيزي ولي مشاركة معك

بالنسبة لثغرات المنتديات مشكلة توجه جميع المنتديات ولكن كيفية السيطرة

على هذه المنتديات والتنبه للعابثين طريقة قد نجهلها دائما لنفرض مثلا

منتديات الـ vb ثغرة أكواد الـ HTML المشكلة اللتي يقع البعض بها ويظل

في حيرة هذه الثغرة تناقلت المنتديات امكانية دخول الهكرز عن طريق هذه

الثغرة والبعض اكد انها عملية وهمية للاختراق للموقع عن طريق هذه الثغرة

مالحل يتجه الجميع الى اغلاق هذا الكود وانهاء العملية للحفاظ على امن

الموقع لكن الى متى هذه التخوف قد يرغب صاحب الموقع بفتح هذا الكود لكن

التخوف من اختراق موقعه العقبة ماذا سيكون حل هذه الثغرة للاسف لا املك

حل منطقيا سوى اغلاق الكود وهل يوجد حل غير ذلك اكيد لكن كيف الوصول له

لا نعلم

الطريقة الثانية اتاحة الدخول بالكوكيز والسماح بتصفح الموقع بالكوكيز

وجعل الخيار افتراضي في الملف الشخصي للعضو مما يمكن اي زائر من العبث

حيث يدخل ويرحب به المنتدى بمعرف اخر ويكشف له اوراق العضوية مما قد

يعود بالمشكلات على صاحب المعرف وقد يكون مشرف وبكذا اصبحت مشكلة جديدة

العمل لانهاء المشكلة من لوحة التحكم لابد من الغاء السماح بتصفح الموقع

بخاصية الكوكيز وجعلها الافتراضية وهنا انتهت مشكلة اخرى للاختراق

المشكلة الثالثة كما تحدثت اخوي جعل الكلمات السرية مثل كلمات البريد

مما يسهل عملية الدخول وتناولت اخي العملية بالكامل تقريبا

الطريقة التالية جعل بريد المنتدى هو البريد العام لكل التعاملات يعني

جعله رسميا ومعروف للجميع مما قد يؤدي لاختراقه ويؤدي لعملية بسيطة

وهي خيار نسيت كلمة السر ويوضع البريد المتعارف لدى الجميع ومستخدم

في بيانات المنتدى وارسال معلومات المعرف والكلمة السرية وخصوصا المشرف

لانه المتحكم في الموقع مشكلة قد يواجهها اصحاب الموقع وللاسف لايتم التنبه

لها

الطريقة الاخرى جعل معلومات المسنخدم الخاصة بموفر السيرفر على بريد محدد

يعني المشكلة في البريد لو اخترق وهو متعارف عليه من قبل العديد من

المستخدمين وتم مراسلة الشركة الموفرة للسيرفر بطلب الباسورد وايهام

المخترق الشركة الموفرة للسيرفر بانه صاحب الموقع ونسي الباسورد الشخصي

وللاسف قد يرسل دون اختياطات امنية من قبل المستضيف وبكل سهولة يتم

اختراق الموقع وبالتالي الدخول لقاعدة البيانات والغاء الموقع باكمله

هنا المصيبة العظمى وهو البريد لازلنا نكرر البريد الشخصي لابد من اخفائه

والتعامل مع غير البريد المعتمد هذه بعض الطرق واساليب الحماية والبقية

ترد اشكرك اخوي على الموضوع والله يعطيك العافية واصل ونحن معك تحياتي

المسافر..

[almatfoog]

البياتي .. المسافر .. كل الشكر

فتح كود HTML ثغرة حقيقية ومثلها تشغيل الفرونت بيج من لوحة التحكم على السيرفر والحقيقة اغلب اصحاب المنتديات لا يحتاجون الفرونت بيج ومع ذلك يشغلونه

المصيبة الأعظم أن أي موقع مستضاف على السيرفر ومفعل الفرونت بيج يمكّن المخترق من اختراق المنتديات التي على السيرفر وكثير من المنتديات التي اخترقت اخترقت من خلال موقع اخر على السيرفر

طيب وش الحل والمستضيف ما عندك احد استاجر سيرفر خاص لمنتداك لكن هل يسوى المنتدى 200 دولار شهريا؟؟؟

[الرحالة]

شكراً لكما،

ولا ننسى أن لحماية مجلد Admin له أهمية في تخفيف محاولات إختراق المنتدى وكذلك مجلد برنامج phpMyadmin وهذا بالذات حيث يستخدمه معظم الأخوة في التعامل مع قاعدة البيانات.

لكن لي سؤال وهو : كيف يمكنني تعطيل الكوكز نهائياً من المنتدى؟؟؟

[محبوب ياسين]

WWWThreads وبس

[booom]

هلا أخوي ..

هذا الموضوع للأخت شهرزاد من الموسوعة العربية للكمبيوتر والإنترنت .. وأعتقد أنه قد يفيد الجميع ..
http://forums.c4arab.net/showthread....&threadid=2997


كيف تحمي منتداك ؟

السلام عليكم و رحمة الله و بركاته ....
لابد و أن الجميع لاحظوا كثرة عمليات اختراق المنتديات العربية في الفترة الأخيرة ... بالأحرى الموضوع صاير موضة الأيام هاذي ....
إن كنت صاحب منتدى ..... أو كنت معتادىً على زيارة منتداك المفضل على الأقل .... فلابد و أن موضوع حماية هذا المنتدى هو موضوع يهمك .... و لهذا كتبت هذا الموضوع لتعم الفائدة على الجميع إن شاء الله ....

أولاً يجب أن أعترف أن منتديات الموسوعة مرت بتجربة اختراق قبل عدة أيام... مرت التجربة بسلام لأنها كانت محاولة بيضاء لاتهدف للتخريب ..... لم يبقى من هذه التجربة سوى التشدد في أمور أمان المنتدى و ما إلى ذلك ...

في الواقع و بعد نقاشات مطولة مع بقية القائمين على منتدى الموسوعة ... توصلنا للنقاط التالية التي أرجو أن تكون كافية لرد أي هجوم على منتداك المفضل ...


* كلمات المرور :

أسهل طريق أمام المخترق هو تجربة كلمات مرور عدة حتى يصل لهدفه ... أو قد يقوم صاحب المنتدى بنشر كلمة مروره عن طيبة قلب لشخص أو لآخر .....
يجب الحذر كثيراً من هذه النقطة .... حاول تغيير كلمة مرورك بشكل دوري و لا تحفظها في أي مكان على جهازك (إذا خشيت من نسيان الكلمة فعليك بحفظها على ورقة خارجية) . كذلك لا تحفظها في المتصفح فقد يكون الوصول إليها سهلاً لو نجح المخترق في اختراق جهازك الشخصي .


* الحماية المضاعفة مع htaccess .

هذه الطريقة تسمح لك بوضع كلمة مرور إضافية على مجلد الأدمن الخاص بمنتداك ..... أنصح الجميع بعدم التهاون بهذه النقطة .... فلو فرضنا أن المخترق تمكن من اكتشاف ثغرة في المنتدى و أعطى لنفسه صلاحيات المشرف فإنه لن يتمكن من الدخول على لوحة التحكم بأي حال من الأحوال ... لأنها محمية بكلمة مرور مضاعفة (مشفرة أيضاً) .....
لمزيد من المعلومات حول طريقة حماية مجلدك باستخدام هذه الخاصية راجع الموضوع التالي :
http://www.swalif.net/softs/showthre...threadid=16477

*لا تستخدم اسم الـ Admin في مشاركاتك في المنتدى ...:

يفضل أن تنشأ اسماً خاصاً تدخل به على لوحة التحكم و اسماً آخراً تشارك به في المنتدى و السبب أن لا يكون اسم الأدمن معروفاً للجميع و في ذلك بعض الخطورة .

*تغيير خصائص الأدمن :

نعلم جميعاً أن المنتديات تعطي صلاحية للأعضاء المنتمين للعضوية Adminstration
و أغلب الثغرات التي يحاول المخترقون ايجادها تكون بإعطاء صلاحية أدمن لنفسه ....
إذن .... الحل الأكيد لمنع مثل هذه المحاولات هو تغيير خصائص الأدمن من لوحة التحكم الخاصة بمنتداك ..... كل ما عليك هو أن تغيير خصائص الأدمن ليصبح مثله مثل أي عضو آخر (لا يستطيع تعديل المواضيع - لا يستطيع دخول لوحة التحكم - لا يستطيع رؤية الساحات الخاصة) ..... عندها تستطيع أن تنام و أنت مرتاح البال .... (==>نصيحة مجرب )


*تحديث المنتدى بشكل دوري :

احرص على الحصول على آخر نسخة من منتداك لأنها غالباً ما تكون خالية من ثغرات النسخ القديمة ..... و لا بأس من التروي قليلاً للتأكد من خلو النسخة الجديدة من الثغرات أيضاً ...


*متابعة الموقع الرسمي للمنتدى :

احرص على زيارة الصفحة الرئيسية للشركة المنتجة للاطلاع على آخر الثغرات و رقع هذه الثغرات .


*عمل باك آب بشكل دائم للمنتدى :

من البديهي أن هذه النقطة هي نقطة مهمة جداً .... لأنك على أسوأ الأحوال ستتمكن من العودة إلى آخر نقطة عملت باك آب عندها ...
ماهو الموعد المناسب لعمل باك آب ؟
هذا يعتمد على حجم منتداك ..... فقد تحتاج لعمل باك آب بشكل اسبوعي أو حتى يومي إذا كان المنتدى ضخماً ...


*اجعل كلمات المرور غير ظاهرة في لوحة التحكم :

مثلاً في منتديات الـ VB هناك خاصية تسمح لك بإخفاء كلمات المرور في لوحة التحكم و ذلك من خلال ملف Config الخاص بمنتداك ... (كل ما عليك هو تغيير أحد القيم من 1 إلى 0) .


*ماذا يحدث غالباً عند اختراق المنتدى ؟

غالباً فإن المخترق يتمكن من اختراق المنتدى باستخدام ثغرة تنشر على الشبكة أو يكتشفها بنفسه ....
لذلك فلا تقلق على موقعك الأصلي (إن كان الموقع يحتوي على أقسام أخرى غير المنتدى) .... لأن المخترق لم يتمكن من اختراق الموقع نفسه كل ما فعله هو التمكن من الدخول على لوحة التحكم بإعطاء نفسه صلاحيات المشرف .
هنا قد يغير المخترق صفحة البداية من المنتديات ..... و هو أقل شيء يفعله ليخبر الجميع بعملية الاختراق ...
بالطبع ستساء كثيراً إذا دخلت يوماً على منتداك و فوجئت بأن صفحة البداية مختلفة !!
ماذا تفعل حينها ؟
إذا كنت تريد نصيحتي فإن هناك طريقة قد لا ترضي الجميع و لكنها بالنسبة لي أفضل مليون مرة من الصفحة التي يضعها المخترق !
كل ما عليك هو أن تدخل على ملفات موقعك من خلال أي برنامج FTP و قم بتغيير البيرمشنز الخاصة بمجلد المنتدى ليتجعل الوصول إليه محجوباً عن الجميع ...
عندها ستظهر رسالة 403 fORBIDEN
إذا كان لا يعجبك شكلها فيمكنك استخدام صفحات الخطأ البديلة إذا كان المستضيف يعطيك هذه الخاصية .



* هل منتداك آمن عند هذه النقطة ؟

لا نستطيع أن نجزم بذلك للأسف ...... لكن نستطيع أن نقول أنه لم يتبقى طرق أخرى معروفه أمام المخترق سوى محاولة اختراق السرفر نفسه و هي عملية أصعب قليلاً من عملية اختراق منتدى ....
و لحماية سرفر موقعك .....
* عليك أن تحرص استضافة موقعك لدى شركة معروفة و مضمونة ببرامجها الآمنة و المتجددة دائماً ...
* كما أرجو ألا تهمل كلمة مرورك بأي حال من الأحوال .
*احرص على استخدام صفحات الخطأ البديلة لأنها تمنع المخترق من معرفة نوع السرفر الذي يعمل عليه موقعك .
*احرص على استخدام برامج آمنة في موقعك .


أطلت عليكم لكن أتمنى أن يكون الموضوع ذا فائدة للجميع و أنصحك أن لا تتهاون في أي نقطة وردت أعلاه !

[u1901]

اخي المسافر
شكرا لك على هذه المشاركه ولست ادري كيف فاتتني هذه النقطة الحساسة ...

[u1901]

اخي المتفوق ، لست اعتقد ان تفعيل الHTML يضر اطلاقا ، لااعتقد ذلك ابدا واعتقد ان الامر مبالغ فيه ، مجرد راي ..

[u1901]

اخي الرحالة
الكوكيز نقطة حساسة ..
للاسف لست ادري كيفية الغاءها ...

[u1901]

محبوب ياسين ..

لقد تم اختراق منتديات الوطواط وهو يستخدم WWWThreads
ومازالت سحاب تتخبط بدماءها معه ..

[u1901]

اخي الكريم بوم

مشاركة رائعه

شكرا لك

[محبوب ياسين]

الوطواط ؟
سحاب ؟

[C.A.P Programmer]

السلام عليكم
شكرا أخي albaity لدعوتي الى المشاركة في هذا الموضوع

الردود السابقة مهمة فعلا

ولكن اختراق المنتديات لايكون دائما سببها ثغرة من المنتدى ، قد تكون الثغرة من المزود نفسه (المستضيف) أو من برنامج (CGI مثلا) آخر موجود في الموقع

لذا ، لانستطيع إلقاء اللوم كله دائما على البرنامج المستخدم ، قد يكون اللوم على الشركة المستضيفة التي لاتهتم بجلب رقع الثغرات لمزوداتها ، بل ربما يكون السبب من خطأ بسيط ارتكبه صاحب الموقع (كترك ملف يحتوي على معلومات قاعدة البيانات - مثل ملفات التنصيب في الـ vB - )

لذلك ، من أهم طرق حماية المنتدى اختيار الشركة المستضيفة بعناية وتطوير البرامج المستخدمة لآخر إصدارة و تركيب رقع الثغرات عليها (Bugs Fixes)

الكواكب عندما اخترقت كانت بسبب ثغرة واضحة من المزود (عرض ملف passwd) مما جعلني انتقل إلى Site5.com
أما في المرة الثانية ، لتأخري في تطوير WWWThreads للإصدارة الحديثة.

بعض البرامج تسمح بارفاق ملفات تنفيذية (مثلا exe أو cgi أو pl) إلى الموقع ، و خاصة اذا كان المزود على نظام وندوز لأنه يسمح بتنفيذ الملفات التنفيذية بدون تراخيص

اذا كنت تستضيف موقعك على جهازك الخاص (في حال اتصالك بالانترنت بشكل دائم - مثلا عن طريق DSL - )
فعليك ألا تستخدم جهازك المستضيف لأغراضك الشخصية (كإنزال البرامج و الملفات من الانترنت عن طريقه) ، لأن اختراق جهازك - حتى لو كان عن طريق تروجان بسيط - يعني اختراق موقعك بأكمله
كذلك يجب قراءة الأسئلة المتكررة (يطلق عليها HOW-TOs أو F.A.Q) التي تتعلق بالأمن (Security) الملحق بنظام التشغيل

نصيحتي لأمن عالي ...
* اقتناء نظام عالي الأمن (نظام التشغيل OpenBSD أثبت تفوقه بالفعل بهذا المجال ، فهو أكثر نظم التشغيل امانا)
-- للأسف معظم الشركات المستضيفة تستخدم نظام Linux (لا اقول ان Linux منخض الأمان ، لكن امانه بلا شك اخف من OpenBSD) في مزوداتهم التي تستصيف المواقع ، لأن الكثير من برامج التحكم المرنة (كـ CPanel) لا تعمل إلا على نظام Linux ، إلا انه عادة ماتقوم تلك الشركات بإقتناء OpenBSD على المزودات الأخرى (كمزودات الـ DSN)

* عدم من الاكثار من البرامج التنفيذية مثل برامج الـ CGI (كالـ Perl
و C++) أو الـ PHP ، أو ASP ، باختصار، البرامج التي تنفذ من جهة المزود

* لاتنسى أيضا عمل نسخة احتياطية لقاعدة البيانات بشكل دوري ، تستطيع عمل ذلك عن طريق Cron Jobs
الـ Cron Jobs هي مجموعة من الأوامر تحددها انت و تحدد زمن لكي يقوم النظام بتنفيذها
شبيهة بالمهام المجدولة في الوندوز

* و طبعا حماية مجلد ملفات التحكم له دور كبير خصوصا عن طريق خدمات المستضيف نفسه (لأنه عادة مايقوم بتشفير كلمة المرور ، في انظمة Unix يستخدم مايسمى بـ Unix Encrypting) ، وليس برامج CGI خارجية

* حاول دائما التقليل من ميزة "حفظ كلمة المرور" خلال المتصفح المستخدم
********
للأسف ، بعض المخترقون ( أو بالأصح اللذين يعتقدون نفسهم كذلك ) يقومون باختراق جهاز صاحب الموقع و يحصل بذلك على معلومات الموقع بالإضافة إلى كل مايحتويه الجهاز

يبدو ان البعض بحاجة الى استيعاب معنى كلمة Hacker ، المخترقون يجب أن يكونوا ملمين على الأقل بلغة تطبيقات واحدة على الأقل (كـ Perl أو C++ أو C ) على الأقل لكي يقوموا ببرمجة exploits بدلا من استعمال برامج exploits جاهزة
لن أتعمق أكثر في الهاكر لأن هذا خارج نطاق الموضوع و القسم
لا أدري ما الفائدة من اختراق مواقع و منتديات عربية ، لم لا يقومون بأعمالهم (البطولية) هذه على مواقع اسرائيلية خبيثة ..

آسف على الإطالة
تحياتي
الوطواط (eDeveloper)

[هيثم2000]

الاخ الغالي
C.A.P Programmer

اعرف مستضيفك السابق وانا حاليا مستضيف موقعي لديه ولدى نفس السيرفر الذي كان عليه موقعك


سؤالي/ هل على موقعي خوف واذا كان هناك ثغرة فما هي وهل استطيع الطلب من المستضيف اغلاقها؟

مع الشكر لك سلفا

[C.A.P Programmer]

أخي هيثم
لاتقلق ، فالثغرة أغلقتها الشركة ...

سؤالي/ هل على موقعي خوف واذا كان هناك ثغرة فما هي وهل استطيع الطلب من المستضيف اغلاقها؟

[b]
بالنسبة للثغرة السابقة فلا خوف منها ، لكن لا اعرف إن كان هناك ثغرات أخرى .. طبعا تستطيع الطلب من المستضيف إغلاق الثغرات الواضحة (إن وجدت) فهذا حقك ، الشركة التي كانت تستضيف موقعي كانوا متعاونين وأغلقوا الثغرة فور تنبيهي لهم بها بل واعطوني مساحة إضافية مكافأة لي

تحياتي
الوطواط