استظافة ترايدنت العظمى..والله حاله

[hardman]

السلام عليكم
يحكى ان شخصا بنى منزلا وعندما اتم بنائه تسائل جيرانه عن عدم وجود ابواب او شبابيك في المنزل؟ فسئلو صاحب المنزل فكانت اجابته انه يخاف من اللصوص ان يهجموا على المنزل فقرر الغائها
هذه القصه تنطبق على استظافة ترايدنت
فقد قدر الله علي وطلب مني احد عملائي برمجة سكريبت خاص به وعند الانتهاء من السكربت وتجربته على السيرفر المحلي بشكل جيد
ارسل لي العميل بيانات الاستظافه فقلت ياولد خنا نشوف معلومات عن php بواسطة phpinfo()
اللي حصل انه ضهرت الصفحة بيضاء بدون نتائج فقلت يمكن هذه الداله لها اضرار او شي يخرب سيرفراتهم العامره
رفعت السكربت وجربت السكربت ماشتغل جلست ابحث في الاكواد الاكواد سليمة
رفعته على استظافه ثانيه اشتغل
طلع داله eval معطله راسلنا دعمهم قال ايش اسم السكربت قلنا هذا برمجة خاصه قال اعطوني الرابط اطلع على السكربت قلنا الحمدلله بتنحل المشكله بعد كذا قال والله الدوال مقفله عندنا ومانقدر نشغلها و رسائل الاخطاء ماتعمل وملفات الهتاكسس ماتعمل والخافي اعظم
المشكله يوم نراسلهم كاننا نراسل مهندسين في ناسا:funny:
زبدة الموضوع اشوف ان الاكثار من الحمايه الى هذه الدرجة يعني ان القائيمين على السيرفر ماعندك احد مثل سالفه راعي البيت اللي قبل شوي:funny:

[علي العتيبي]

يابن الحلال الحين الواحد ليش يتعّب نفسه

يستأجر له سيرفر vps مواصفاته عسل لمدة سنة بداتا سنتر يفتح النفس

ويكون السيرفر لموقعه فقط بسعر لا يتعدى 2500 ريال سنوياً

بلا ترايدنت بلا استضافة عربيّة ووجع راس

رغم انني اعتبر استضافة ترايدنت أفضل استضافة عربية

ولكن مشكلتها استعارها الخرافيّة و إغلاق الدوال كما ذكرت

[daif]

سبق أن ناقشت هذه المشكلة مع أكثر من صاحب سرفر , من يجهل يجيب "لاسباب أمنية" .
في الحقيقه صحيح أن بعض الدوال بها مشاكل أمنية لكن يتم اصدار ترقيع بشكل سريع لا يتجاوز أيام معدوده , وينصح مبرمجي php بإغلاق الدوال بشكل فوري الى ان تصدر الترقيعة الأمنية ويتم تحديث السرفر , لكن صاحب السرفر لا يدرك ماذا حدث بالضبط ويظل يمنع هذه الدالة على السرفر وأي سرفر يمر عليه حتى لو بالغلط .

الان لا يوجد أي دالة غير آمنة في php اذا كانت اعدادات السرفر صحيح أي ان كل صاحب موقع يعمل موقعه بالمستخدم نفسه فانه حتى داله exec لا تشكل اي مشكلة. ايضا حتى لو أعطيء صاحب الموقع حساب ssh فانه لا يستطيع فعل أي شيء اذا كان المستخدمين والمجموعات موزعه بشكل سليم.

القليل من الشركات التى توفر استظافات مشتركة من تعمل هذه الاعدادات بشكل صحيح .

[mezoo]

صراحة
شركات نادرة حتى الأجنبية التي تتيح أعدادات جيدة

يعني في شركة رفعت عندها سكريبت gallery
كل حاجة شغالة، حتى الـ ssh ومنزلين كل مكتبات ال php ومنزلين حتى الـ ffmpeg وكل حاجة فعلاً

[محب الله ورسوله]

الإسضافات الأجنبية لديهم كل شيئ مفتوح
ورغم ذلك لا تستطيع الدخول لحساب أخر ولا رفع شل وإستخدامه

بس كله كوم و eval كوم أخر
صراحة عجيبة
طيب يظهروا أخطاء ال php في ملفات حتي لكي يعمل المبرمج ماذا يحدث

[Eng/ Ahmed]

أعتقد ان المشكله ليست مشكلة دوال ، أكيد هناك شيء ما خطأ متعلق بالبرمجيه أو يحتاج لأعداده ليتناسب للعمل علي استضافة لينوكس و ليس سيرفر محلي ، هل تستخدم نظام تيمبلت بالبرمجيه الخاصه بك ؟

[hardman]

أعتقد ان المشكله ليست مشكلة دوال ، أكيد هناك شيء ما خطأ متعلق بالبرمجيه أو يحتاج لأعداده ليتناسب للعمل علي استضافة لينوكس و ليس سيرفر محلي ، هل تستخدم نظام تيمبلت بالبرمجيه الخاصه بك ؟

هل تقصد برمجة الاسكربت ليتوافق مع استظافتهم
تم رفع السكربت على استظافة اخرى ويعمل بشكل ممتاز.
ولكن مالحكمة من اخفاء رسائل الاخطاء البرمجيه؟
وكيف نعرف اصدار php ?
phpinfo() مغلقه
والعميل مايبي يغير الاستظافه لانه دفع حقها والله حاله

[mr_m]

لن أتكلم عن ترايدنت بشكل خاص لأني لم أحتك بها. لذلك سيكون كلامي عاما..

بشكل عام المبالغة في تعطيل الدوال و التقييد بهذا الشكل لا يسمى "حماية زائدة" .. بل هي "ذكاء زائد"

ليس من العيب أن شركة الاستضافة تستعين بشركة أخرى لإعداد سيرفراتها أو حتى إدارتها، في حال عدم توفر الكفاءة عند الطاقم الفني بها.

أو أنها تعطي دورات في التعامل مع السيرفرات لطاقمها الفني طالما أن هذا في الأصل سيعود للشركة على شكل رضا للعميل.


ممكن تحاول معرفة الدوال المعطلة وأيضا السيف مود شغال أم لا ثم تعدل في البرنامج.

يعني التعديلات لن تكون جذرية وأيضا الاختبار لوكال وأمرك الى الله.

[محب الله ورسوله]

ما عليك سوي إختبار الدوال المستخدمة بدال if وتري الخرج حتي تتعرف علي المغلق وتحاول تتفاهم مع ترايدنت

[hardman]

لن أتكلم عن ترايدنت بشكل خاص لأني لم أحتك بها. لذلك سيكون كلامي عاما..

بشكل عام المبالغة في تعطيل الدوال و التقييد بهذا الشكل لا يسمى "حماية زائدة" .. بل هي "ذكاء زائد".

اذا انت تعتبر الذي بنا بيته بدون ابواب ولا شبابيك ذكي بحجة منع اللصوص من الدخول

ممكن تحاول معرفة الدوال المعطلة وأيضا السيف مود شغال أم لا ثم تعدل في البرنامج.
".

كيف و phpinfo لاتعمل؟

[Mr.Ahmed EssAm]

حماية مبالغ فيها تجدها كثيرا وتقسيرها الوحيد عجز صاحب السيرفر عن حماية سيرفره

فيضطر الى اغلاق كل الدوال ليريح راسه

وفي النهاية السيرفرات العربيه موجود للمنتديات لذلك طالما المنتدى شغال على السيرفر فليس مهم اي شئ اخر

فنادرا ما تجد برمجه خاصه

[mr_m]

أخي المتعارف عليه أنه من حق العميل مراسلة الدعم الفني وطلب معرفة كل هذه المعلومات بالتفصيل طالما أنهم منعوها ، فراسلهم..

ان لم يجيبوا عليك -وهذا متوقع طالما انهم بالشكل الذي وصفت- فلن يبقى امامك الا ان تختبر كل دالة تشك فيها على حدة كما قال المجروح ثم التجربة على الموقع.

[fayz]

الكثير من الدوال المعطلة على استضافة ترايدنت ..
طبعا هي تعقيك عن بعض البرامج ... لكن بالفعل هي تعطي السيرفر امان قوي .. حتى أنه اصبح مفخرة الهكر عندما يخترق سيرفر على ترايدنت .

اما تعطيل الدوال فهي بالفعل مزعجة جدا

[Ahmed Tohamy]

مع أحترامي للجميع ... لو ان احدكم يقدم الدعم للعميل العربي عند أختراق موقعه بسبب أخطاء في حماية الكود البرمجي الخاص به ما كان ليسأل لم تقوم شركات الاستضافة التي تقدم الدعم للعرب بإغلاق الدوال بشكل يعتبره الكثير من المبرمجين ومنهم أنا "عشوائيه" ويعتمد مديري السيرفرات في حماية السيرفرات التي تقدم للسوق العربي علي مباديء تجاريه بحته مثل جملة ( الشيلات لا تعمل علي السيرفر "في حين ان الشيلات المذكوره ما هي الا ملفات تحتوي اكواد برمجية عاديه مثل اي برنامج اخر" والتي يضطر فيها لاغلاق بعض دوال مهمه يحتاجها الكثير من الاسكربتات .

أما بالنسبة لدالة eval التي ذكر الاخ انها مغلقه في سيرفرات ترايدنت .... فهذا غير صحيح .
يمكنك مراسلتي او وضع رابط الموقع هنا وسيتم متابعة مشكلتك بشكل مباشر بصفتي احد المسؤلين عن سيرفرات ترايدنت تقنياً .

ملحوظه : أقوم بتقديم خدمات السيرفرات التقنية للعديد من السيرفرات التي تقدم خدمات الاستضافه للعملاء من غير العرب ... يتم إعتماد أنظمة الحماية علي مباديء تقنية في الدرجة الاولي وتجارية في الدرجة الثانيه حيث انه في حالة إختراق موقع العميل يكون هو المسؤل الوحيد دام ان الاختراق تم بسبب ضعف في حماية الكود البرمجي وليس من السيرفر .

[daif]

Ahmed Tohamy ,
هل يمكن ان تضع قائمة بالدوال التى تحجبها بالسرفر ؟
على سبيل المثال glob و exec اذا كانت اعدادات السرفر صحيحه فلا يمكن لك ان تستخدمها خارج نطاق موقعك ... مثلا مع تركيب SuEXEC وغيره .
حاليا curl بها خلل امنى للاصداره 5.2.9 هل ستقوم بحجبها من السرفر بشكل مؤقت ثم بعد تحديث السرفر تقوم بتفعيلها ؟ هذا ما اتحدث عنه دوما ان صاحب السرفر يحجب الداله بشكل نهائي بدون ان يدرك ماذا يفعل.

رابط حول ثغرة curl
http://www.isecur1ty.org/news/14-vul...ir-bypass.html