الحل الصحيح للمجلدات المصرحه بـ 777

العندليب · 22-11-2005, 02:16 PM

السلام عليكم ورحمة الله وبركاته

أخواني الأعضاء في سوالف سوفت
لاحظت أن الأغلبيه يستخدم سكربتات لرفع الملفات في موقعه وهذه السكربتات كثيره منها ماهو أمن ومنها ماهو غير أمن ، وهذه السكربتات تشترط منك ياصاحب الموقع أن تقوم بعمل تصريح 777 او تصريح 707 لمجلد معين وهذه التصاريح تسمح لزوار موقعك بالكتابه في المجلد الذي قمت أنت بتصريحه.
الخطوره هنا من ملفات الـ php لأنها تحتوي على تعليمات برمجيه يتم تنفيذها داخل خادم الموقع .
فلو قام أحد الأطفال المخترقين من رفع ملف php إلى الخادم بأي ثغرة كانت فسوف يبحث عن المجلدات ذات تصريح 777 أو 707 لأن صلاحياته صلاحيات زائر وحين يجد هذه المجلدات فسوف يستخدمها كمعسكر لملفاته وسكربتاته مثل : PHPShell ، MySQLInterface ............. الخ بعدها سيصل إلى ملفات موقعك وبعدها أنت تعلم ماذا سيفعل

إذن ما الحل الصحيح لهذه المجلدات !؟!؟

الحل طبعاً بتعطيل تنفيذ الـ php داخل هذه المجلدات عن طريق تعليمه تضيفها في ملف الـ .htaccess وهي :

كود PHP:

  php_flag engine off

بعدها تقوم برفع ملف الـ .htaccess الى كل المجلدات ذات تصريح 777 .

وللتجربه قم برفع اي سكربت php للمجلدات ذات التصاريح 777 والتي تحتوي على الـ htaccess وقم بالدخول على هذا السكربت وشاهد النتيجه .
سوف تجد أن السكربت لم يقم الخادم بتنفيذه

ملف .htaccess مرفق

pop4wali · 22-11-2005, 02:33 PM

جارى التجربه وباذن الله تكون النتيجه فعاله
شكرا لك يا عندليب على عطائك المستمر

محمود المسعودي · 22-11-2005, 02:57 PM

جزاك الله كل خير يالعندليب .. تم إرسال نسخة الى قسم تطوير المواقع لاهمية الموضوع و لانه يهم اصحاب المواقع ايضاً ...

الجياش · 22-11-2005, 03:00 PM

جزاك الله خيرا

ولكن على حد علمي .. ان الشل ليس كله بامتداد php هناك امتدادات اخرى يمكن ان يستفيد منها

العندليب · 22-11-2005, 03:46 PM

العفو ياطيبين وشاكر مروركم

بالنسبه لاستفسارك يا أخي الجياش عن أن هناك امتدادات اخرى يمكن الاستفاده منها فحاول أن تدقق في كلامي بالموضوع حيث ذكرت ( الحل طبعاً بتعطيل تنفيذ الـ php داخل هذه المجلدات )

أي امتداد يتعلق بتنفيذ الـ php لن يعمل

أخونا المشرف ابو محمود
بارك الله بيك يا أخي والله يعيننا على الرد هنا وهناك

mega · 22-11-2005, 04:32 PM

تسلم والله على موضوعك

بارك الله لك بعلمك وزادك من فضله

وجارى التجربه

لووول هوست · 22-11-2005, 04:33 PM

بطل

والله انك بطل مشكور

الجياش · 22-11-2005, 04:55 PM

جميل جداا اخي العندليب .. لم انتبه لذلك

يعني هذا انه سيمنع كل الاوامر للphp ولن تعمل ابداا حتى لو كان الشل بأمتداد shell.php.rar او shell.php3

اسير الحب · 22-11-2005, 06:26 PM

جزاك الله الف خير

السيد الموسوي · 22-11-2005, 07:52 PM

السلام عليكم

شكراً لك

البترولي · 22-11-2005, 07:58 PM

جزاك الله خير اخوي

لكن عندي استفسار الله يرضى عليك

ابي اعرف الملفات اللي عندي اللي حاط عليه هذا التصريح اما بازالة التصريح او تنفيذ الامر اللي تفضلت مشكور بوضعها لنا ..

Dohacom · 22-11-2005, 08:41 PM

بارك الله لك بعلمك وزادك من فضله

وانا لدي استفسار بسيط ينفع اركبه على البوم الصور 4images لان اكثر ملفاته لازم تعطيها تصاريح 777

FaraS · 22-11-2005, 09:04 PM

السلام عليكم ورحمة الله
الاخ الفاضل :- العندليب
دائماَ استاذي الكريم له بصمة رائعه و حلول تفيد بها أصحاب المواقع قبل مستخدمي الشبكة ..
جزاك الله خيراَ ... على ما تقدمه ..

تمت التجربة بنجاح ...
نطبق من بعدك و عيوننا مغمضه

عصوووم · 22-11-2005, 09:08 PM

السلام عليكم..

اخوي العندليب يقولك الكبير يفضل كبير...ماشاء الله تبارك الله

والله حل جبار فك ازمة الخوف على الموقع كامل بسبب مركز التحميل او اي مجلد يحمل التصريح 777...

طبقته على المركز عندي....وحمدالله ارتحت الحين من اي ملف شل باي امتداد كان جديد ينرفع عندي...

جزاك ربي الف خير وصراحه موضوع مهم جداً....عساك على القوه يارب ولا عدمناك يالغالي

الدليل · 23-11-2005, 01:10 AM

أنت تلومني يوم انك تغيب وأسأل عنك

لا هنت يالذيب

ورحم الله والديك

عنتر · 23-11-2005, 09:01 AM

السلام عليكم
للأسف هذا الحل يمكن تجاوزه بطريقة بسيطة ..
وهي أن البعض يستطيعون الآن حذف ملف .htaccess من أي مجلد ترخيصه 777 .. و بذلك يمكن رفع أي ملف و تنفيذ أي أمر ..
كلامي أعتقد واضح .
فأنصح بالبحث عن حل آخر ..
والسلام عليكم

الباهوت · 23-11-2005, 09:51 AM

ماشاء الله عليك بالعندليب بصراحة تستحق هالدعوه الله يزوجك ياشيخ
حل رائع من رجل رائع ونحن نفتخر بك
بالنسبه لردك اخوي عنتر بعرف انا الحين كيف الواحد يحذف هالملف .htaccess وهو مايقدر اصلاً يرفع شئ عشان يحذف الملف عجيييب!!!

تقبل تحياتي

عنتر · 23-11-2005, 10:05 AM

أخي الباهوت أنا أتكلم عن خبرة و تجربة فلاتجادلني رجاءً
وليس هدفي إحباط الأخ صاحب الموضوع ( جزاه الله كل الخير ) بل أريد لفت نظركم إلى أمر قد يكون غاب عنكم .
فحذف ملف .htaccess يتم دون تحميل أي ملف للمجلد بل يتم بعملية Replace ... وهناك طرق أخرى كثيرة ..
فانتبه لما أقول .
باختصار شديد : ممنوع ترك مجلد بترخيص 777 في السيرفر و تحت أي ظرف كان .
وإذا أردت عمل سكريبت أبلوود فالحل الأكثر أماناً هو حفظ الملفات المرفوعة في قاعدة البيانات .,
ولايوجد عندي حل آخر ..
وبالتوفيق للجميع

الباهوت · 23-11-2005, 10:09 AM

إقتباس:

المشاركة الأصلية بواسطة عنتر

أخي الباهوت أنا أتكلم عن خبرة و تجربة فلاتجادلني رجاءً
وليس هدفي إحباط الأخ صاحب الموضوع ( جزاه الله كل الخير ) بل أريد لفت نظركم إلى أمر قد يكون غاب عنكم .
فحذف ملف .htaccess يتم دون تحميل أي ملف للمجلد بل يتم بعملية Replace ... وهناك طرق أخرى كثيرة ..
فانتبه لما أقول .
باختصار شديد : ممنوع ترك مجلد بترخيص 777 في السيرفر و تحت أي ظرف كان .
وإذا أردت عمل سكريبت أبلوود فالحل الأكثر أماناً هو حفظ الملفات المرفوعة في قاعدة البيانات .,
ولايوجد عندي حل آخر ..
وبالتوفيق للجميع

اخي عنتر بارك الله فيك لم اجادلك وانما سألتك سؤال على العموم شكراً عالتنبيه

alkahf · 23-11-2005, 11:59 AM

الأخ عنتر كلامه صحيح فأرجو الانتباه .

العندليب · 23-11-2005, 01:17 PM

شكرا يا أخواني على مروركم وبارك الله بكم

نأتي للاستفسارات

إقتباس:

المشاركة الأصلية بواسطة عنتر

السلام عليكم
للأسف هذا الحل يمكن تجاوزه بطريقة بسيطة ..
وهي أن البعض يستطيعون الآن حذف ملف .htaccess من أي مجلد ترخيصه 777 .. و بذلك يمكن رفع أي ملف و تنفيذ أي أمر ..
كلامي أعتقد واضح .
فأنصح بالبحث عن حل آخر ..
والسلام عليكم

وعليكم السلام ورحمة الله وبركاته

شكرا يا أخ عنتر على مداخلتك واعصابك شوي محد بيعارضك ولكن حنتناقش معاك

عزيزي لو تم حذف الملف أصبح لا داعي لمجلدات 777

وأصبح الشخص متحكم بكل شي بدون حذف ورفع

واذا كنت قلقان على هالملف من الحذف لدي حل سيريحك ان شاء الله

1- إفتح مجلد جديد في موقعك عن طريق الـ FTP وقم بتسميته اي اسم واعطيه صلاحيات 755 .
2- انشيء ملف htaccess متضمن السطر الذي كتبناه في اول الموضوع بداخل هذا المجلد .
3- انقل جميع المجلدات ذات التصريح 777 الى هذا المجلد

كيف سيحذف الملف الان وليس لديه اي صلاحيات ياعزيزي لحذفه

AhmadASG · 23-11-2005, 01:25 PM

إقتباس:

المشاركة الأصلية بواسطة العندليب

شكرا يا أخواني على مروركم وبارك الله بكم

نأتي للاستفسارات

وعليكم السلام ورحمة الله وبركاته

شكرا يا أخ عنتر على مداخلتك واعصابك شوي محط بيعارضك ولكن حنتناقش معاك
عزيزي لو تم حذف الملف أصبح لا داعي لمجلدات 777 وأصبح الشخص متحكم بكل شي بدون حذف ورفع

واذا كنت قلقان على هالملف من الحذف لدي حل سيريحك ان شاء الله

1- إفتح مجلد جديد في موقعك عن طريق الـ FTP وقم بتسميته اي اسم واعطيه صلاحيات 755 .
2- انشيء ملف htaccess متضمن السطر الذي كتبناه في اول الموضوع بداخل هذا المجلد .
3- انقل جميع المجلدات ذات التصريح 777 الى هذا المجلد

كيف سيحذف الملف الان وليس لديه اي صلاحيات ياعزيزي لحذفه

استاذ بمعنى الكلمة

وهذه الطريقة سوف تحل جميع ثغرات مراكز التحميل وجزاك الله الف خير اخي العندليب وكثر الله من امثالك

تحياتي لك
احمد

NOOOOR · 23-11-2005, 05:03 PM

بارك الله فيك

وهى خطوة فى هذا الطريق الصعب وهو حل ثغرات مركز التحميل

"ظل القمر" · 23-11-2005, 05:22 PM

السلام عليكم..

شكرا لك اخي العندليب

وجزاك الله خير

عنتر · 23-11-2005, 08:25 PM

إقتباس:

المشاركة الأصلية بواسطة العندليب

شكرا يا أخواني على مروركم وبارك الله بكم

نأتي للاستفسارات

وعليكم السلام ورحمة الله وبركاته

شكرا يا أخ عنتر على مداخلتك واعصابك شوي محد بيعارضك ولكن حنتناقش معاك
عزيزي لو تم حذف الملف أصبح لا داعي لمجلدات 777 وأصبح الشخص متحكم بكل شي بدون حذف ورفع

واذا كنت قلقان على هالملف من الحذف لدي حل سيريحك ان شاء الله

1- إفتح مجلد جديد في موقعك عن طريق الـ FTP وقم بتسميته اي اسم واعطيه صلاحيات 755 .
2- انشيء ملف htaccess متضمن السطر الذي كتبناه في اول الموضوع بداخل هذا المجلد .
3- انقل جميع المجلدات ذات التصريح 777 الى هذا المجلد

كيف سيحذف الملف الان وليس لديه اي صلاحيات ياعزيزي لحذفه

حل جميل أخي العندليب أتمنى أن يقرأه الجميع

فنسبة 100% من مجلدات تحميل الملفات في المواقع العربية موجودة على الروت و ترخيصها 777 .
و جزاك الله كل خير .
والسلام عليكم

عنتر