السلام عليكم ورحمه الله وبركاته
الاخوه الاعزاء في الفتره الاخيره تعرضت الكثير من المنتديات للاختراق
وتعدد الطرق لحمايه مجلد الادمن ولكننا وجدنا طريقه سهله وبسيطه لحمايه الادمن من الاختراق وهي في نفس الوقت اعتقد انها طريقه كافيه وجيده
والفكرة تكمن في أنه بما ان فولدر الادمن يعتبر كيان مستقل داخل المنتدي والتعامل يكون مع قواعد البيانات بصوره مباشره ولا يرتبط بمكان معين
قمنا بعمل الاتي
1- نسخ كل محتويات فولدر الادمن الموجود داخل فولدر الفي بي
2- وضعناها في مكان ثاني علي الموقع وكانت علي سبيل المثال
www.astrexnet.com/122314782/aa/vb_eee/admin
مع ملاحظه اننا تركنا اسم الفولدر كما هو ولم أجرب ان اغير الاسم نظرا لان ذلك يمكن ان يؤثر علي العمل
3- قمنا بحذف ملف الاندكس في المكان الاصلي وقمنا باستبداله بملف أخر
وضعنا فيها داله php تقوم بأخذ الاي بي الخاص بمن يحاول ان يدخل علي الادمن
وهي
if (getenv(HTTP_X_FORWARDED_FOR)) {
$ip = getenv(HTTP_X_FORWARDED_FOR);
} else {
$ip = getenv(REMOTE_ADDR);
}
وقمنا بكتابه داله اخري ترسل الاي بي علي الميل الخاص بنا
وهي
<?
mail ("ahmedsql@hotmail.com","محاولة اختراق " , $ip);
mail ("sad_stare@hotmail.com","محاولة اختراق " , $ip);
?>
وفي نهايه الملف قما بعمل الامر ريديركت علي الصفحه الرئيسيه للمنتدي
<META HTTP-EQUIV=Refresh CONTENT=1;URL=http://www.astrexnet.com/ib/index.php>
وفي الفولدر الجديد قما بعمل الحمايه العاديه عن طريق الهاك الذي يحمي ملف الاندكس وبذلك أصبحت الحمايه مضاعفه
واعتقد انه لن يوجد من يجلس لكي يخمن اين يقع فولدر الادمن
وزياده في الحمايه قمنا بعمل الآتي
عمل مجموعه usergroup جديده وقمنا بنقل الاكونت الخاص بالادمن اليها حيث سمعنا انه هناك ثغره تستطيع من خلالها ان تأتي بباسورد المشرف العام وقمنا باعداد الخصائص الخاصه باكونت الادمن بحي انه لا يستطيع تصفح المنتدي حيث قصرنا استخدامه علي الادمن فقط
وبالفعل طبقنا التجربه علي منتدي ابن مصر والحمد لله نجحت وحدث ان باسوورد الادمن تم سرقتها وتغييرها ولكن الخيبه اصابت من قام بذلك حيث لم يجد المكان الذي سوف يستعمل به الباسوور
وحتي امكانيه حذف المواضيع لم يستطع ان يفعل شيئ لان الاكونت مغلق في المنتدي
ويمكنك ان تتطورا الطريقه بحيث تقوموا بعمل حمايه اضافيه باي طريقه من الطرق المعروفه
أسأل الله عز وجل ان يكون هذا الموضوع نفع للمسلمين
سبحانك اللهم وبحمدك أشهد انه لا اله الا انت استغفرك ربي وأتوب اليك
تقبلوا تحياتنا
جميع الحقوق محفوظه لفريق استركس ( ahmedsql - abu_eldahab )
www.astrexnet.com