بدأ الهجوم .. والشيلات تغزو موقعي [طلب مساعدة]

[amawi]

بسم الله الرحمن الرحيم

مرحبا اخوتي ،

تفاجأت اليوم واثناء مراجعتي لاخر الصور والملفات التي رفعها اعضاء منتداي عبر سكربت التحميل الذي ادمجته مع المنتدى ان احد المخربيين قام برفع ما يتجاوز عن 15 شل ، اضافة الى صفحات لا اعرف كيف حصل عليها تحمل بعض الارقام السرية لي .

تفاجأت بشدة كون التحميل مربوط بالمنتدى فقط وغير مصرح للعموم

المهم حذفت الملفات وكل شيء الحمد لله

ولكن السؤال كيف استطاع هذا المخرب رفع ملفات php

علما بانني استخدم هذا السكربت

www.al-jeel.net/up

فاتمنى مساعدتي بالاخص انني لا اعرف من هو هذا الشخص

غير هذا فموقعي ثقافي بحت غير مرتبط باشخاص او بسياسات او باي علاقات شخصية مباشرة مع احد . فلم كل هذا التخريب ؟

وشكرا سلفا للجميع .

اخوكم

[فيصول]

السلام عليكم ورحمة الله وبركاته

اخوي بعض مراكز التحميل يمكن التلاعب فيهـا

يرفع شل بهالطريقة name.php.jpg

وفيه اكثـر من طريقة اخرى
لاكن ارفع ملف هاتكسس .htaccess في المجلد اللي تُرفع فيه الملفات

وضع فيه هالكود :

php_flag engine off


وضيفة هالكود يعطل الـ php نهائياًً في المجلد

[MR_MAMI]

اذا سيرفرك php5

راح يرفعون ملفات php بسهولة مع سكربت سلطان

[amawi]

اخ فيصول هل الملف يلغي عمل ملفات php المرفوعة ام يمنع رفعها ؟

اخ MR_MAMI ممم ، بم تنصحني في هذه الحال ؟ فنعم السيرفر php5

[مهند كود]

اخ فيصول هل الملف يلغي عمل ملفات php المرفوعة ام يمنع رفعها ؟

اخ MR_MAMI ممم ، بم تنصحني في هذه الحال ؟ فنعم السيرفر php5

نصيحة خذ لك سكربت مدفوع

[amawi]

اهلا اخوي مهند

اخوي الغرض من السكربت اصلا هو التعويض عن نظام المرفقات في المنتدى

اي ان الغرض منه ليس تحميل وتنزل كما في مراكز الرفع

هل هناك حل اكثر سلاسة

وشكرا

[Legend KSA]

جرب سكربت ترايدنت


اعتقد انه الافضل والآمن

[فرح]

اخى اغلق الثغرة

ترقيع هام ثغرة لمن يستخدم مركز سلطان لرفع الملفات - منتديات عرب أونلاين


وباذن الله ما ينرفع شل جديد وعن تجربة


اختك

[3Rbi.Org]

اخى اغلق الثغرة

ترقيع هام ثغرة لمن يستخدم مركز سلطان لرفع الملفات - منتديات عرب أونلاين


وباذن الله ما ينرفع شل جديد وعن تجربة


اختك

شكرا لك أختي فرح ولكن الرابط لا يعمل =] :shy:

[فرح]

من اتصالك اخوى

عموما هذا الموضوع

===========

السلام عليكم ورحمة الله وبركاته


ترقيع هام لمن يستخدم مركز سلطان لرفع الملفات..

في البداية من لا تواجهه المشكلة لا يقوم بالتعديل

حصلت هذه المشكلة بسبب الإصدار الجديد من PHP


وجميع المراكز التي على سيرفر عرب أونلاين تم ترقيعها فمن استضافته لدينا لا يقوم بالترقيع
لأنه تم للجميع ولله الحمد.

المشكلة: أصبح يرفع جميع الملفات بجميع الإمتدادات

في البداية افتح مجلد upload.php

ابحث عن

كود PHP:

$filename = (!$_FILES['attached']['error'] ? substr( basename($_FILES['attached']['name']), -30 ) : '');

استبدله بـ

كود PHP:

$filename = (!$_FILES['attached']['error'] ? substr(basename($_FILES['attached']['name']), -3, 3 ) : '');

يرجى حفظ الحقوق,,

[amawi]

شكرا لجميع الاخوة

وشكرا للاخت فرح على المساعدة الرائعة

وتم اغلاق الثغرة باذن الله


بالتوفيق ^_^