السلام عليكم و رحمة الله و بركاته .,
اولاً جزاك الله كل خير اخونا الغالي مُدِمن نت على هذا العمل و جعله في ميزان حسناتك .. آللهم آمين.
بالنسبه للحماية انا من رأئي الان الطريقة المنشره في الهاكر و التي تجعل الهاكر يتمكن من الدخول لي قواعد البيانات و منها يستطيع الحصول على صلاحيات كثيره و فعل الكثير بالموقع
يستطيع مسح القاعده بالكامل لو يريد ., و طبعاً في هذه الحاله الحل هنا هو باك اب للموقع و ستفقد اخر المشاركات و الاعضاء و المواضيع !!
و ليس فقط ذلك فهو يستطيع نسخ قاعده بيانات موقعك بكل مافيها من مواضيع و اعضاء و كل شئ !!
( كلام خطير!! ) ., ولكن الاخطر ان هذه الطريقه تعتبر اسهل طرق الاختراق المنتشره الان و التي ينفذها اطفال الهكر على الكثير من المواقع
و كيف يتم الاختراق بالطريقه هذه ؟
بكل بساطه يتم عن طريق رفع شيل اي كان نوع c99 او r57 ., و بعد رفع الشيل يستطيع استعراض اي ملف لو كان الشيل مرفوع على الموقع نفسه يستطيع تفحص الملفات بشكل طبيعي كإنه موجود فاتح السي بنل عندك ., ولكن لن يستطيع التعديل على اي ملفات الا اذا كانت ذات ترخيص 666 مثلاً للملفات و كذلك لن يستطيع لرفع ملفات جديده الا اذا كانت المجلدات 777 .. المهم نكمل كلامنا خلاص الهاكر رفع شيل على موقع يقدر يستعرض الملفات اللي على الموقع سواء كان بالاساس الشيل موجود على موقعك او سواء تم الدخول على ملفات موقعك من خلال استعراضها ببعض الاوامر من شيل مرفوع على موقع ثاني على نفس السيرفر و ابسط شئ يفعله اطفال الهاكر هو الذهاب الي ملف الكونفيج و قرائته includes/config.php و بعد قرائته ماذا يحدث ؟ بكل بساطه يحصل على اهم شئ يريده و هو اسم المستخدم و كلمة المرور الخاصه بقاعده بيانات المنتدى . و بعد ذلك ماذا يفعل بهم ؟ يقوم برفع اداه تدعى بإسم MySQL على موقعك او على اي موقع على نفس السيرفر و كل ماهو يتم طلبه يوزر و باسورد و بعد ذلك يتم الدخول الي قاعده البيانات و يملك كل التراخيص بعمل اي شئ في القاعده من نسخ او مسح او تعديل
.., و طبعاً الجميع يشاهد ان اكثر الطرق في الاختراق انشاراً تكون عن طريق اختراق الاستايل و هي تتم بالطريقه التي شرحتها فبعد الدخول الي قاعده البيانات يقوم بالذهاب الي جدول الـ template و التعديل على قالب الـ forumhome و استبداله بكود اختراق
ماذا نفعل للحماية من هذا النواع و حماية المنتدى من عبث الاطفال ؟
بكل بساطه من وجه نظري انا :-
1- مستضيف يكون محمي ومضمون لضمان عدم حدوث اي عبث لموقعك من المواقع الاخرى على نفس السيرفر ( الهاكر يحصل على اكونت على نفس السيرفر و يروح يخرب في باقي المواقع اللي على السيرفر
او يشوف موقع فيه ثغره في مركز تحميل او اي اسكربت و يرفع شيل منها و يروح يخرب في باقي المواقع
)
2- الحفاظ على موقعك جداً في الاسكربتات التي تقوم بتركيبها و التأكد من خلوها من اي ثغرات .
3- انصحك بدروس الحمايه (تغير الكونفيج + تغير متغيرات معلومات قاعده البيانات ) من رأئي يتعبروا من الدروس الاساسيه للحفاظ على موقعك في الاستضافات المشتركه و الحفاظ من اي عبث خارجي .
سؤال احب اوجهه لأصحاب هاكات الحمايه سواء كان الهاك i.s.s.w او هاك الاخ مدمن او هاك MaSTeR Security
لماذا لو هذه الهاكات ضرورية و شئ اساسي لحماية المنتدى لم يتم صدورها بشكل رسمي من شركة vBulletin ? و لماذا لم تستخدم شركة vBulletin و المواقع الكبيره مثل ترايدنت و سوالف مثل هذه الهاكات ؟
من رأئي انا : اجابه ممكن تكون بسيطه بس اعتقد هي الصحيحه .. السبب ان هذه المواقع اولاً لا تستخدم الاستضافات المشتركه التي يكون عليها مواقع كثيره (لذلك تتفادي اي اختراق عن طريق موقع اخر) وايضاً هذه المواقع تعتمد على اسكربت vBulletin و متأكده من حمايته حيث اننا اذا دخلنا اي موقع من مواقع الثغرات مثل milw0rm.com لا تجد اي نسخ من نسخ الـ vB الحديثه الان موجود بها اي ثغرات و طرق استغلالها ., و إن في يوم حدث و وجود ثغره و عن طريقها تسطيع رفع شيل للموقع سريعاً ما ينزل ترقيع لها لذلك اضم صوتي لصوت الاخ ميلاد و هو ضرورة الترقيه المستمره لآخر اصدار و البعد عن اراء البعض التي تقول ان النسخه كذا هي افضل نسخه لو كانت افضل نسخه لماذا تقوم الشركة بتنزيل ترقيعات لها و تنزيل اصدارات منها ؟
!!
------------------------
لي استفسار بسيط من الاخ مُدِمن نت بالنسبه للشئ الموجود بالهاك عنده
تدمير معلومات قاعدة البيانات (Config) حتى لايتم استدعاءه من مصادر أخرى.
هل هذا يمنع عمل الاداة MYSQL ?و هي تعمل اتصال خارجي بقاعدة البيانات .., و انا عن نفسي سأقوم بتركيب الهاك و القيام بالتجربه.
تحياتي لكم جميعاً و المعذره إن لم استطيع توصيل بعض النقط بالشكل السليم و اختصار بعض النقط
المواضيع المشابهه 
