حماية - حلول - تهكير المنتديات - مناقشة

[F.B.I]

كثرة بالاونه الاخيرة التهكير على بعض المنتديات بين الاعضاء
ومنهم من اتصف برابطات وجماعات قذرة
وهذه الاخبار اتت بفارق وقت قصير بل اشبه بالخيال
حتى يخيل لي ان بعض المنتديات تتهاوى الاخر تلو الاخر !!

لماذ !!

هل هنالك ثغرة ما ؟؟

اتضح بالاونه ليست بالطويل بالجيل الثاني vB2 على ماذكر لي ثغرة
عن طريق التقويم
ولا اعلم ان كانت هنالك ايضا ثغرة للجيل الثالث vB3 من خلال التقويم

ايضا من فوائد هاذا الموضوع اننا سوف نناقش اهم الحلول والطرق المتاحة...
اكتشاف الثغرات في الجيل الثاني او الثالث

البحث عن الاجوبه لبعض التساؤلات التي تحير البعض منا

وايضا لنعلم ان الموضوع عقيم ان لم نتشارك به وطرح ماهو مفيد لسد الثغرات
او ايجاد حلول لبعض المسائل مثل الطرق في حال لاقدر الله لنا ولكم ان تم التهكير على منتدياتكم

سوف اتطرق لبعض الاسباب ومن يخالفني الرأي يدلو بدوله
فنحن هنا لنعلم ونستفيد من بعضا لبعض
وبالتالي اسوف اجد الحلول والطرق لبعض الامور كالتالي:

ماذا افعل لكي احصن المنتديات من خطر التهكير ؟؟؟

ج / هذه بعض الخطوات المتاحة

1 - اعمل حماية للوحة التحكم الخاصة بالمنتدى من خلال لوحة التحكم الخاصة بالموقع عن طريق حماية مجلد الادمن
2 - الغي خاصية قائمة الاعضاء
3 - اجعل التسجيل يتطلب تفعيل الاشتراك
4 - الغي خاصية التقويم
5 - اجعل المتواجدون الان فقط للمشرفين
6 - اجعل المنتدى كامل لايتقبل خاصية HTML وخصوصا الرسائل الخاصة
7 - حاول تراجع تصاريح المنتديات
8 - عطل خاصية الهتمل من الصندوق السحري من خلال حذف الكود من اكواد المنتديات من لوحة التحكم BBcod (حل مؤقت حتى يتم ايجاد حل للصندوق السحري)


ماذا افعل اذا اتهكر على منتداي؟؟

هنالك حلول كثيرة منها


1 - الانتقال الى جهاز اخر اذا تأكدت انه مهكر عليه (_يعني مهكر على الجهاز)
2 - الذهاب الى لوحة التحكم الخاصة بالموقع
3 - الذهاب الى MySql
4 - الذهاب الى قاعدة بينات المنتديات
5 - الذهاب على ماظن جدول اليوزر
6 - ايجاد يوزر المشرف العام وتغيير الايميل تبعه
ملاحظة : اذا كان مغير الايميل فبالطريقة هاذي تستطيع استرجاع الباس ورد عن طريق الايمل
7 - بعدها تروح للمنتدى وتسترجع الباس عن طريق استرجاع الباسورد من طريق الفورم وبكذا ياصلك الباسورد الى بريدك

طريقة اخرى
نفس الخطوات 1 2 3 4 5
ويتوجب الدخول باي اسم مستعار يعني تكون مسجل باكثر من اسم
اجعله ادمن باختيار المجموعة وجعله من مجموعة المشرفين
وبكذا تقدر تدخل لوحة التحكم وتدرك مايتم ادراكة


ماذا افعل ان تم مسح جميع المنتديات؟؟ المشاركات والاعضاء !!

في هذه الحالة
يجب ان يكون لديك نسخه احتياطية
وان لم تجد فاعتقد ان كان المستضيف جيد من ناحية خدماته فسوف يضع لك نسخه احتياطية دورية فقم باسترجاعها

كيف اكتشف الشخص المهكر على منتديات بلحظة التهكير ؟؟

بهذه الحالة ان كان الهكر لم يبلغ الدمار تستطيع معرفة ذالك
من خلال القروب او المسميات للاعضاء
بمعنى الذهاب للوحة التحكم
خيارات الاعضاء
اختيار المشرفين وعرضهم
وبكذا تعرف المشرف الجديد (الهكر)

هذه بعض الاقتراحات والحلول والمعذرة فقد تم كتابة الموضوع بعجالة من امري

اخوكم
FPI

[البترولي]

رد مقتبس من FPI_2002
5 - اجعل المتواجدون الان فقط للمشرفين

اخوي ما هو الضرر

وجزاك الله خير على الموضوع وفتح ملف النقاش فيه

[d7me4ever]

السلام عليكم


شباب حطو هذا الكود يخوف الناس

المشرف العام موجود 24 ساعه 365 يوم مايطلع من المنتدى

كود:

<i><a href="member.php?action=getinfo&userid=1"><font color=red><b>مراقب المنتدى</b></i></font></a>,

تحياتي لكم

[ياقلبي]

جزاك الله خير اخي FPI

أيضا ً اضيف على كلامك نقطة اخرا .. اعتقد ذكرها احد الاخوة في موضوع سابق وهي

تغير مسمى مجلد الادمن ومجلد mod <= المشرفين .. الى اي اسم لايخطر على بال احد

ولكن يجب ان تفتح ملف confg وتضع نفس اسماء المجلدات التي غيرتها فية ولا بيحصل عطل عندك

هذي الطريقة جربتها ولم تحدث معي اي مشكلة ولله الحمد .. فهنا لو حصل المخترق على الباسورد

يبقى له يدور مجلد الادمن وذا حصلة يبقى لة يجيب الباسورد حق حماية مجلد الادمن :funny:

معناها قد صعبنا من مهمة او جعلناها مستحيلة نوعا ً ما

تحياتي لكم

[arabiancoder]

d7me4ever


اين نضع الكود

[F.B.I]

اخوي الدلوع تفادي لمعرفة userid=

اخوي d7me4ever الف شكر لا اضافتك الجميلة وان كانت ملطلب للعبض بشرحها


اخوي ياقلبي الف شكر لاظافتك الجميلة

elshary
تحياتي لك

[عاشق عمان]

رد مقتبس من FPI_2002
اخوي الدلوع تفادي لمعرفة userid=

هلا بيك أخي
اشكرك على كل ما ذكرته ..

ولكن يمكن معرفه userid بكل سهولة
ادخل على ملف اي عضو .. وراح تشوف في المتصفح فوق رقم عضوبته ... غير رقم العضوية الى 1 وراح يطلع لك ملف المشرف العام ..

ولا ايش تقصد ممكن توضح اكثر اخي


ولك جزيل الشكر

تحياتي

[b happy]

السلام عليكم

الكود الي حطه الأخ d7me4ever يوضع في تمبليت forumhome_loggedinuser تضيفه في المكان المناسب و لكن يجدر بك تغيير كلمة مراقب المنتدى لأنها قديمه و الي يشوفها صار دايما يعرف انها اضافة و لكن لو أضفت اسم جديد و خليته من المراقبين و تغيير اسمه و تحطه فسيظهر كأدمن في المتواجدين حاليا و يوم يضغطوا عليه تروح لمعلوماته بعد ما تغيير userid=1 الى اليوزر الخاص به هذا برأيي

[BOMBER]

اضيف للاخوان


قم بعمل ادمن اخر للمنتدى للاحتياط بحيث لو تم الاستيلاء على الادمن الاساسي يكون لديك ادمن اخر تستطيع العمل من خلاله وخليه للاحتياط مش للمشاركه



الاختراق في منتديات ال في بي يكون عند طريق الميمبر وليس عن طريق الكالندر ... احرصي على عدم اتاحة الميمبر ...

فكره الاختراق بسيطه .. المشرف العام كم سيكون رقمه بالنسبه لعدد الاعضاء


اكيد سيكون رقم 1 والفكره هذي هي طريقتهم

واحب اوضح قصه طريفه حصلت مع احد الاخوان

اخترق منتداه

ووضع موضوع يشرح له كيفية حماية منتداه وكيف اخترقوه علما بانهم وعلى كلامه لم يحذفوا اي شي بل اعادوه له بنفس الباسوورد والايميل بعد 24 ساعه

اصبحوا يتهكمون ... وبالفعل هكرز آخر زمن ..


وفكرة المود فعلا جميله لو اضيف عليها جافا سيكربت خاص بتجميد الجهاز في حالة الروابط الخطا الخاص بالادمن سي بي او المود


موضوع جميل

[الشريف.نت]

اولا اشكرك اخي الكريم على الموضوع الحلو
ثانيا :
أفضل طريقة لحماية المنتدى او الموقع هو انك تصير هاكر
نعم فاذا تعلمت التهكير تستطيع معرفة طرق الحماية
ودليل كلامي انه في كورسات امن الحاسبات يعطونهم معلومات عن التهكير

ثالثا : ان الواحد يحدث معلوماته اول بأول عن الثغرات الموجودة من خلال مواقع السيكيورتي
وهذا مثال :
http://www.securityfocus.com

[Emichat.Com]

الحين هكرو على منتداي ...

لاحول ولا قوة الا بالله

[Emichat.Com]

النك مال الي هكرر على المنتدى

Dr.EXe