الخطر القادم phpshell !

[Net Hunter]

السلام عليكم
نعم هو الخطر القادم هذا البريمج الصغير على php
تسبب في قتل سيرفرات باكملها
غالبية السيرفرات المحترفه حلت مشكلتها من هذا البريمج
لكن في اعضاء يستخدمون سيرفرات خاصة بدون شركة استضافة فحبيت احذر من هالبرنامج بحيث انه يتم زرعه على حساب الاف تي بي بشكل او باخر ويمكنك من دخول الـ root الخاص بالسيرفر وبمجرد خبره بسيطه في اوامر الونيكس تصبح انت المتحكم !!

اذا كان باسورد موقعك عند اكثر من شخص .. شيك على ملفات موقعك اذا فات الفوت ما ينننفع الصوت ..
جربت هالسكربت مجرد التجربه عندما كان موقعي على موقع العرب واستطعت دخول على حسابات المشتركين وبعدها توقف كانو عارفين الثغرة الظاهر
والشائع الان ان الهاكرز صاروا ياجرون مواقع من سيرفرات معينه بحيث يكون لهم اشتراك على المستضيف يمكنهم من وضع الملف المذكور على الاف تي بي و الهكرزه على الحسابات

تحياتي

[awm88]

مشكور اخوي الله يعطيك الف عافيه

اهم نقطه عندي هي

((((غالبية السيرفرات المحترفه حلتها مشكلتها من هذا البريمج )))



الله يستر علينا

مشكور حبيبي على التنبية

[beshoo]

بصراحة الكلام صحيح
ولكن
كما قلت السكريبت انا جربتة وهو بسيط جدا يمكن لاي شخص ان يصنع مثلة
وهو تنفيذ اوامر من sestem();
ولكن السكريبت يعاني من قصور شديد اذا ان عملية العرض صعبة جدا ولا يمكن ذلك بسهولة
ولكن بالتل نت يكون الوضع مختلف وحتى ال SSH
اذا لا حل لهذة المعضلة الا بعدم تفعيل ال telnet and ssh

[Net Hunter]

رد مقتبس من beshoo
بصراحة الكلام صحيح
ولكن
كما قلت السكريبت انا جربتة وهو بسيط جدا يمكن لاي شخص ان يصنع مثلة
وهو تنفيذ اوامر من sestem();
ولكن السكريبت يعاني من قصور شديد اذا ان عملية العرض صعبة جدا ولا يمكن ذلك بسهولة
ولكن بالتل نت يكون الوضع مختلف وحتى ال SSH
اذا لا حل لهذة المعضلة الا بعدم تفعيل ال telnet and ssh

انا جربته على سيرفر مفعل فيه التلنت لكن كانت اوامر اللونيكس الي رجبتها عليه محجوبه ما ادري كيف يحجبون الاوامر عن طريق البرنامج و يخلونها متاحه عن طريق التلنت العادي !
لكن الصدمه كانت في site5.com
استطعت التحكم بكل حاجه ! وهذا من فتره طويله يمكن الامر تغير الان ..

تحياتي

[AbuAnas]

تستطيع أن تعطل عمل برنامج phpshell عن طريق تعطيل استخدام الدوال system و exec من خلال ملف الـ php.ini

[beshoo]

رد مقتبس من AbuAnas
تستطيع أن تعطل عمل برنامج phpshell عن طريق تعطيل استخدام الدوال system و exec من خلال ملف الـ php.ini

تماما

[AbuAnas]

وذلك باضافة السطر التالي إلى ملف php.ini


disable_functions = system,exec,passthru


أبوأنس

[beshoo]

ولكن ماعلمل في حال وجود اتل نت و ال SSH ?

لا اظن ان هناك اي عمل ؟

بالمناسبة
ان منع تين التعليمتين قد يءثران سلبا على الكثير من السمريبتات التي تتعامل مع السيرفر .

[Anas]

انا مستغرب من كلمة الخطر القادم

هذا الملف يستعمله الهكر من زماااااااااااااان !!!!!! ولكن ... يجب ان تعلموا أن مدراء المواقع او السيرفرات العربية ضعيفيييين أمنيا ...

بصراحة ... يجب ان نعيد الكثير من حساباتنا وخصوصا من النواحي الامنية .......

يؤسفني أن أخبركم ان معظم اخترقات المواقع العربية تتم بهذه الطريقة ...

الامثلة موجودة ... ولكن لن اذكرها لأسباب أمنية أيضا .....

شيء آخر ...

ما ذكره الاخ ابو أنس صحيح ولكن هناك سكربتات أخرى لا يمكن ايقافها ( حاليا ) ... الا بحل واحد وهو ( السيرفر الخاص ) ..

سلااااام ...

[jaber]

شعبنا الواحد يقول له بووووو و تلاقيه صار يرجف خوف .. يعني كيف :

حبيت احذر من هالبرنامج بحيث انه يتم زرعه على حساب الاف تي بي بشكل او باخر

[beshoo]

الملف يعمل ببساطة على عرض الملفات
لربما اوامر الحذف و التحرير غير فعلاة ولكن غير مهم
يكفي عرض ملف الكونفغ config.php
وبذلك معرفة الباسورد لاي برمجية وبس.

المشكلة الرئيسية هي انه حتى لوتم حجب ال system commandمن ال Php.ini

فانة عن طريق ....

كود:

$beshoo=(`$command`);

يتم تنفيذ الامر ببساطة

[Anas]

يا خيوووو

شوي تاني بتحط الملف نفسه ...

حبيت ضيف انه ممكن أيضا تفعيل الـ SaveMode وهنا سيكون No Shell وفي هذه الحالة لن تعمل مثل هذه الملفات ...

ولكن توجد بدائل يمكن من خلالها الوصول للداتا بيز وتنفيذ جميع ما تحب من الاوامر عليها وهي ملفات مثل التي نتكلم عنها ...

هذه المصيبة التي لم تستطع اغلب السيرفرات حلها ....

سلام ..

[Net Hunter]

مشكورين على االردود اي جماعه ومشكور يا بو انس على المعلومات القيمه الي ذكرتها

تحياتي

[AbuAnas]

أحب أن أنوه تنويه بسيط على كلام الأخ أنس

وهي أن سيرفر أو جهاز مرتبط للشبكة معرض للخطر بشكل كبير جدا ، و ليس في ذلك فرق بين الشركات العربية و الشركات الأجنبية من حيث العموم ..

بقي أن نقول صحيح أن كثير من السيرفرات المدارة عربيا تشتكي من ضعف أمني ، لكن هذا لا يختص بالعرب وحدهم ، فهناك الكثير من السيرفرات التي تملكها شركات أجنبية و ذات سمعة ممتازة و مع ذلك فيها من الثغرات مايجعلها شبيهة بالجبن السويسري


NetHunter

الشكر موصول لك أيضا عزيزي



أبوأنس

[beshoo]

لم أشء أن المح ولكن نحن في مجلس علم
وهذا علم
ومني والله بحط الملف وبشرح تماما كيف يتم عمل هذا الملف
وعندي ملف قمت بتطويرة يقوم ببعض الامور تغنيك عن كتابتها .


المهم ........
هذا الملف ببساطة لا حل له ابدا الا بأمرين

الغاء ال Telnet
الغاء ال SSH
شراء سيرفر خاص .
أن يكون سيرفرك هو كمبيوترك انت .
أن تعمل ضمن ال SAVE MODE هذا ليس بحل جذري.
هذة هي الحلول ...

اما بالنسبة لقواعد اليانات
فهذة قصة أخرى تتعلق تماما بال localhost .
وايضا يجب عند الدخول من الويب ان يدرج الشخص اسم الدخول لمموقع ومن ثم معلومات القاعدة.
ولكن ان كان الطلب من الموقع ذاتة فامر اخر

ولكن نيد من الشركات ان تصغي لهذة الثغرة الخطيرة الت بالفعل تهديد حى للمواقع الاجنبية


الشركات العربية لا ذنب لها ابدا
فهذة ليست ثغرة اصلا.........
بل ميزة
ويجب ان يكون هناك عدم تفعيل لها او تفعيل حسب الحاجة او الطلب

---------------------------------------------------------
ودمتم.