شرح حماية المنتدى (حماية كاملة ) سوالف سوفت

[spider n3t]

السلام عليكم ورحمة الله وبركاته


بدون مقدمات اليوم ها نشرح حماية المنتدى حماية كاملة مافيش اختراقات ، مافيش تطفل من اصحاب العقول الضعيفة ( هؤلاء مرضا نفسياً) ها نعملهم طريقتين للحماية الاولة بالهاكات والثانية بالتعديل على ملفات المنتدى ممكن تسوى طريقة منهم تكفى اول الاتنين معانا بس اكيد ها يصعب عليك الطفل هذا لانه راح :tears: :icon1366:

نبداء على بكرة الله


اول شى ركبنا النسخة وافضل نسخة انصح بها هى (3.8.6) وها تبقى موجودة بالمرفقات وهى من تعديل ونزع فريق(vBSmart)
الطريقة الاولى
الخطوة الاولى :- (الكلمات الممنوعة) تم وضعها بالمرفقات
طريقة التركيب



اذهب الى خيارات المنتدى ثم الى خيارات الرقابة ثم إضغط على تعديل الإعدادات

تفعيل الرقابة: إختار نعم

الكلمات الممنوعة : ضع الكلمات الممنوعة المرفقة فى هذا المربع ثم اضغط حفظ وسلامتك



الخطوة الثانية :- ترقيع ثغرة (Spacer_open)
شرح الطريقة

اذهب الى مجلد vb وافتح ملف global.php بمحرر النصوص ثم ابحث عن

كود PHP:

eval('$spacer_open = "' .  fetch_template('spacer_open') . '";'); 


معنى الكود انه المتغير $spacer_open يقوم بإستدعاء القالب spacer_open

سوف نقوم بتغيير اسم القالب الى اي اسم نريده وليكن مثلا webmasr

اي اننا سوف نستبدل الكود العلوي بهذا الكود

كود PHP:

eval('$spacer_open = "' . fetch_template('webmasr
 ') . '";'); 


بذلك اصبح المتغير $spacer_open يقوم بإستدعاء القالب webmasr
والقالب spacer_open ليس له اي فائدة ,,,

لم يبقى الى شئ بسيط

من لوحة التحكم

الاستايلات والقوالب

التحكم في الاستايلات ثم نقوم بإضافة قالب جديد باسم webmasr (طبعا يجب ان يكون اسم القالب متوافق مع الاسم اللى وضعته في ملف global.php )


ثم تقوم بوضع التالي في هذا القالب

كود PHP:

<!-- open content container  --> 
 <if condition="$show['old_explorer']"> 
     <table cellpadding="0" cellspacing="0" border="0"  width="$stylevar[outertablewidth]" align="center"><tr><td  class="page" style="padding:0px $stylevar[spacersize]px 0px  $stylevar[spacersize]px"> 
 <else /> 
 <div align="center"> 
     <div class="page" style="width:$stylevar[outerdivwidth];  text-align:$stylevar"> 
         <div style="padding:0px $stylevar[spacersize]px 0px  $stylevar[spacersize]px"> 
 </if> 


ثم حفظ وسلامتك





الخطوة الثالثة :- ترقيع ثغرة FORUM HOME المشكلة في الأساس تكمن في الدالة copy
شرح الطريقة

افتح القالب SHOWTHREAD ابحث عن

كود PHP:

<tr> 
        <td class="vbmenu_option"><img class="inlineimg" src="$stylevar[imgdir_button]/printer.gif" alt="$vbphrase[show_printable_version]" /> <a href="printthread.php?$session[sessionurl]t=$threadid" accesskey="3" rel="nofollow">$vbphrase[show_printable_version]</a></td> 
    </tr> 


ثم قم بحذفه كاملا ثم حذف وسلامتك





الطرقة الثانية

الخطوة الاولى :-
( تركيب هااكات الحماية ) الهاكات بالمرفقات وعددها 4 هاكات

1. هاك الحماية i.s.s.w
   
2. هاك حماية تلغيم الاستايلات
   
3. هاك حماية شريط اخر الموضيع و الاهداءت
4. منع اختراق الفورم هوم وتاكد عند حقنه وارجاع الفورم هوم الافتراضي
   

ها نشرح تركيب اول هاك وهو هاك الحماية i.s.s.w وفوائده فى الحماية

1. لايتعارض مع اي منتجات update تحديث1.3
2. حماية المنتدى من عدة اخطار
3. اغلاق الاختراق عن طريق Spacer_Open و Spacer_Close
4. حماية المنتدى من التشويه من خلال القوالب update تحديث1.3
5. منع عرض الفروم هوم اندكس الاختراق واغلاق المنتدى
6. ارسال رساله عند الاختراق الى الايميل المحدد في لوحة التحكم
   
7. منع استغلال xss و mate واستغلالات التحويل
8. حماية اضافية لملف config مع امكانية تغر اسم ملف config
9. منع استعلامات عدة تسببها الهاكات للاستغلال update تحديث1.3
10. اضافه حماية اخر عشر مواضيع من اكواد html تنبية يجب عدم تفعيل html المنتدى
    
11. ملف اضافي ادوات الفحص update تحديث1.3
12. ميزة الاسترجاع الذاتي للقوالب المخترقة جديد 1.3
13. التعليمات الاضافية جديد 1.3

تركيب الهاك :_


ارفع ما بدخل مجلد
admincp

الى مجلد admincp


وارفع cpnav_issw.xml
داخل
vb/includes/xml
قوم باستدعاء البروديكت من لوحة تحكم المنتدي


تركيب الهاكين الاخرين قوم باستدعاء البروديكت من لوحة تحكم المنتدي


انتهينا من درسنا الان واقولك انسى حماية منتداك نهائيا لان مافيش حد ها يقدر يفكر فى منتداك مرة تانية تم مرعاة المبتدئين وتم تبسيط الشرح جداً :cupidarrow:


همسة :-


اسئلة قد تدور براس من يعرف عن الحماية او قد شاهد احد الموضيع الخاصة بالحماية فى احد المنتديات

1_ لماذا أخى لم تقوم بعمل اى جدار نارى على المجلدات التالية

admincp
modcp includes archiveالاجابة :- بكل بساطة اى هكر يقدر يتخطى الجدار النارى بسهولة وعلى لسان احد الهكرز وبعض من اخترقت موقعهم :thumbdown:
2_ لما أخى لم تقم بتشفير ملف الكونفج (config.php) او تقم بتغير اسمه أو نقله الى مكان غير مكانه

الاجابة :- زاى اجابة السوال الاول اى هكر يقدر يفك التشفير بتاع الملف بكود صغير

3 _ طيب ياخى لو المنتدى تم اختراقه بعد ما سويت الحماية هذه

الاجابة :- انصحك فوراً بأن تقوم بتغير مستضيفك لانه حماية سيرفره تساوى (صفر ،0 ) كتبتهالك بالارقام والعربى

[AlmOshaX]

مشكووور

[HuMaN-BiEnG]

السلام عليكم ورحمة الله وبركاته

مشكور اخى الكريم على الشرح

ولكن لى تعليق بسيط

بكل بساطة اى هكر يقدر يتخطى الجدار النارى بسهولة وعلى لسان احد الهكرز وبعض من اخترقت موقعهم

اختراق الجدار النارى يتم عن طريق الحصول مسبقا على البيانات وذلك بعد التمكن من استغلال ثغرة باسكربت الموقع ورفع شل يمكن المخترق من قراءة محتويات الملف الذى يحتوى على بيانات الجدار النارى

بينما لا يمكن أبدا تخطى الجدار النارى عن طريق تجربة بيانات بطريقة عشوائية Brute Force Attack

لذلك لا يمكن ابدا الاستهانة بالجدار النارى

علما بأنه لايوجد حماية بنسبة 100% ولكننا نقوم بعمل كل ما فى وسعنا للرفع من درجة الحماية والتى تجعل اختراقها بالشىء الصعب الغير هين

ملحوظة خاصة بجميع الاسكربتات,
الى كل صاحب موقع يعمل على اسكربت مثل (vbulletin, joomla, wordpress, infinity ..etc) رقم واحد فى الحماية هى تحديث الاسكربت دائما ولكن فقط الى التحديثات المستقرة Stable حيث ان كل تحديث يتم طرحه هو فى الغالب لاصلاح مشاكل او ثغرات أمنية فى الاسكربت + اضافة مميزات جديدة

شكرا لكم

والسلام عليكم ورحمة الله وبركاته

[ahmed-samara]

يوجد قسم خاص بتطوير المنتديات وليست في الشبكات والخوادم وقواعد البيانات