-
الرجاء توضيح تلك الرسالة من المستضيف
السلام عليكم ورحمة الله وبركاته
لى موقع اسلامى من استضافة اجنبيه عليه منتدى ومجلة انفنتى
وفجأة ودون مقدمات أوقفت الشركة الدومين
وعندما حاولنا مراسلة الدعم الفنى قالو انهم اوقفو الموقع لاننا ارسلنا رسائل دعائيه كثيره
وهذا لم يحدث على الاطلاق منا
وبعد المحاولات والمراسلات منا والتحقيقات منهم
قامو بفتح الموقع لنا
وارسلو لنا رساله بها بعض الارشادات اعتقد لأمان الموقع
ولكن صعب علينا فهما
فالرجاء منكم مساعدتنا فى فهمها لتنفيذ ما بها وتخطى هذه المشكله وعدم حدوثها لنا مرة اخرى
نص الرساله هو:
If you did not send the email, you will want to secure your account.
The programs that operate database-driven sites are vulnerable to hackers,
who can (and do) exploit bugs in those programs to gain unauthorized
access to your site.
1. Set register_globals to OFF
2. Turn off Display Error/Warning Messages. set error_display to ZERO
3. Never run unescaped queries
4. Validate all user inputs. Items on Forms, in URLS and so on
5. Move Config and files containing Passwords to mysql to a Secure
directory outside of the public_html folder
6. Access Control, U don't want ya user to have access to Admin function
or Clean up scripts
7. htaccess is your friend use it to deny people (we also have a easy deny
manager too in the cpanel)
8. PHP can parse any valid script, whether it is called foo.php,
very_long_name.php.php.php, or even willeymtard.bat. Using the default
extension of ".php" means that before your hackers start you have already
told them you are using PHP. As mentioned, you can use any filename for
your scripts - if you are using PHP for every script on your server,
consider using the ".html" extension for your scripts and making PHP parse
HTML files you can change your file extension by adding this line to the
htaccess or turn it on via the add type handler in the cpanel (AddType
application/x-httpd-php .php)
9. To protect against SQL injection attacks Sometimes hackers will try to
screw up you database by inserting SQL code into your form input fields.
They can for example, insert code that could delete all the data in your
database!
To protect against this, you need to use this PHP function:
mysql_real_escape_string()
This function escapes (makes safe) any special characters in a string
(programmers call text a 'string') for MySQL.
Example:
$name = $_REQUEST['name'];
$safe_name = mysql_real_escape_string($name);
Now you know the variable $safe_name, is safe to use with your SQL code.
10. Keep the PHP code to yourself. If anyone can see it they can expliot
vulnerabilities. You should take care to store your PHP files and the
necessary passwords to access your MySQL databases in protected files or
folders. The easy way to do this is to put the database access passwords
in a file with a .inc.php extension (such as config.inc.php), and then
place this file in a directory which is above the serverâ?Ts document root
(and thus not accessible to surfers of your site), and refer to the file
in your PHP code with a require_once command. By doing things this way,
your PHP code can read the included file easily but hackers will find it
almost impossible to hack your site.
You can find more information about hardening your PHP scripts at:
PHP Security Consortium: PHP Security Guide
التعديل الأخير تم بواسطة زاد الرحيل ; 12-11-2008 الساعة 11:30 PM
-
هذة الرساله تفيد ان لديك برامج بي اتش بي تعمل على السيرفر
و مربوطة بقواعد بينات
و بها ثغرات او احتمالية حدوث اعتدائات على موقعك
و هذة الرالة بها اعدادات ملف php.ini
5. Move Config and files containing Passwords to mysql to a Secure
directory outside of the public_html folder
يجب عليك ارسال ملف الكونفج او مجلد الانكلود بالكامل الي الروت ( هذة تحتاج الي خبرة *)
و يجب عليك عدم السماح لأحد الوجول لمنطقة الأدمن
htaccess
يجب عليك ضبط اعدادات هذا الملف مثال لأوامر عدم السماح برفع او استخدام ملفات البيرل و الشل و خلافة
your scripts - if you are using PHP for every script on your server,
consider using the ".html" extension for your scripts and making PHP parse
HTML files you can change your file extension by adding this line to the
htaccess or turn it on via the add type handler in the cpanel (AddType
application/x-httpd-php .php
يمكنك التخلي على نظام ال php
بتحويل روابط موقعك الي html لزيادة الأمان
و يمكنك تفعيل الخاصية بأضافة اكواد التحويل الي ملف
httpd-php .php
و هو خاص بالأباتشي اذا كنت تمتلك سيرفر يمكنك وضعها بكونفج الاباتشي
او وضعها بملف . htaccess
نصيحة خاصة مني ( اذا كان موقعك كبير ) لاتضع اكواد التحويل في ملف . htaccess لانه يسبب لود عاالي
يمكنك طلب من المستضيف وضعها بملف الكونفج للأباتشي
و عموما كلها استعادة بعض الملفات للأفتراضي لها
و يمكنك عملها كلها و انها توصيات امنية لموقعك و فعلا اهميتها كبيرة
انا ممكن اساعدك بس انا مش عارف انت احتياجاتك ايه بالظبط
بمعني اي السكريبتات اللي راكبة بوقعك
و هل انت مركب هاك في بي سيو لتحويل روابط موقعك ام لا
و يمكنني ارفاق ملف php.ini
جاهز اعدادات الحمايه
و ملف . htaccess
و لكن بعد النظر لموقعك و محتوياتة
و بالنسبة لمف الكونفج و تحويل مسارة
انصحك بتغير مسار ملف الأنكلود كاملا مع العلم ان المخترق اذا كان ولد و فاهم ممكن يجيب كل المسارات من الجلوبال الملف تابع للمنتدى
و لكن وضعهم في الروت يمكنة معرفة مكنهم و لكن لا يستطيع الوصول اليهم
ضوابط المشاركة
- لا تستطيع إضافة مواضيع جديدة
- لا تستطيع الرد على المواضيع
- لا تستطيع إرفاق ملفات
- لا تستطيع تعديل مشاركاتك
-
قوانين المنتدى
أضف موقعك هنا|
اخبار السيارات |
حراج |
شقق للايجار في الكويت |
بيوت للبيع في الكويت |
دليل الكويت العقاري |
مقروء |
شركة كشف تسربات المياه |
شركة عزل اسطح بالرياض |
عزل فوم بالرياض|
عزل اسطح بالرياض |
كشف تسربات المياة بالرياض |
شركة عزل اسطح بالرياض