السلام عليكم و رحمة الله و بركاته ..
الإخوة الكرام ..
ما دفعني لكتابة هذا الموضوع هو ملاحظتي للإختراقات المتكررة للكثير من المواقع و المنتديات في هذه الأيام ..
فأحببت ان اضع بعض النصائح و الإرشادات التي قد تساهم في الحد منها ..
سيناريو الأختراق :
ما يتم في هذه الأيام من اختراقات يمشي على سيناريو واحد من العمل .. و بأختصار .. يتم رفع ملف شيل PHP Shell على الموقع او المنتدى .. ثم يتم استدعاؤه .. يمكن الشيل المخترق من الدخول على ملفات المساحة .. اول ما يتم الدخول عليه هو ملفات config.php للحصول على بيانات قواعد البيانات .. ثم يقوم بالبحث عن مجلدات ذات ترخيص 777 حيث انه من المعروف انها تسمح برفع الملفات عليها .. و ما فائدة هذه الخاصية ؟ .. تسمح له برفع سكريبت يدخله على قاعدة البيانات ليقوم بما يريد .. سكريبت مشابه لـ phpMyAdmin .. اذا قد وضع يده على المنتدى و السكربتات الموجودة على الموقع ..
ابسط ما يمكنه فعله .. دخول الجدول الخاص بأعضاء المنتدى و من ثم تحديد المشرف العام و تغيير بريده الإلكتروني الي بريد المخترق و عمل استعادة لكلمة السر تجعله يحصل على كلمة السر الجديدة و بالتالي ادارة المنتدى ..
اعلم اني قد قمت بفضح الطريقة .. و تعليمها لمن لم يمكن يعرفها و لكن القصد هو التنبيه و التحذير من هذه العملية السخيفة بوجهة نظري ..
اذا .. ما العمل ؟
1- كثر الحديث عن السيف مود و اهمية تفعيله .. كما يقول العديد من الآشخاص انه لا حاجة له ..
اما وجهة نظري فهي كالتالي .. السيف مود لا يمنع الإختراق بصفة تامة .. الفكرة تكمن في تعطيل بعض الدوال الخطرة المعرفوة لدى الجميع .. و يتفق معي اصحاب الإستضافة بأن تشغيل السيف مود يسبب بعض المشاكل في بعض السكربتات .. افضل ما يمكن عمله هو عدم تفعيله . مع تعطيل بعض الدوال الخطرة .. كما يمكن تركيب phpsuexec لتوفير المزيد من الحماية ..
2- ثغرات ال php .. بصرحة لا اعلم ان تم الحديث عنها او لأ .. فان تم .. يكون كلامي مجرد تنبيه
توجد ثغرات متعددة بالphp و اشهرها دالة copy() حيث تسمح بدخول المستخدم عبر طرق معينة لأي ملف من ملفات السيرفر و ليس ملفات الموقع فقط .. اذا كل ما يجب فعله هو الحصول على كل ملف config.php متواجد على السيرفر لإكمال عملية الأختراق للسيرفر بأكمله .. الثغرة التي اتحدث عنها اكتشفت في منتصف ابريل المنصرم .. و هي تستغل مكتبة zlib - zip library و بالخصوص دالة الضغط compress للقيام بأستدعاء الملف المراد الدخول عليه من قبل المخترق و نسخه لمجلد ال tmp و من ثم اخراجه output للمخترق .
فلك ان تتصور خطورة استدعاء ملف /etc/passwd
3- ثغرات السكربتات و المنتديات .. هي السبب الرئيسي في اختراق المواقع و المنتديات للأسف حيث لا يقوم صاحب الموقع و المنتدى بتحديث سكربتاته المستخدمة على الموقع الا بعد ان يأكل عليها الدهر و يشرب .. و بعد ما يطيح الفاس بالراس .. لن يفيد الندم .. و المشهور حاليا ثغرة XSS المكتشفةمن قبل IMEI التي تستغل حقل البريد الإلكتروني في الملف الشخصي للعضو في نسخ منتديات vBulletin .. فأناشد اصحاب الموقع بأهمية التحديث و الترقية كلما امكن ذلك و لذلك لكافة السكربتات ..
4- تصاريح الملفات و المجلدات .. كما ذكرت بالأعلى .. المجلدات ذات تصاريح 777 تسمح بتحميل الملفات عبر المتصفح و ذلك من خلال الشيل .. نصيحتي هي بعدم استخدام تصريح 777 نهائيا طالما يمكن تجنب ذلك .. العديد من اصحاب المواقع راح يقولون عندي مركز تحميل و عندي سكربت و عندي و عندي .. الخ .. و لازم يكون تصريحه 777 .. بهذه الحالة .. قم بوضع ملف
يحمل الخيارات التالية :كود:.htaccess
هذا الملف سيقوم بمنع استدعاء الملفات ذات الإمتدادات السابقة عبر المتصفح و بالتالي لن يستطيع المخترق من الدخول عليها و ان قام برفعها .. و هو ما يقوم بحل مشكلة رفع الشيل الى حد كبير ..كود:<FilesMatch "\.(pl|cgi|py|php|php3|php4|php5|phtml?|shtml?|html?)$"> deny from all </FilesMatch>
كما لا مانع من حماية المجلدات الحيوية في الموقع بجدار ناري يمنع دخول المتطفلين ..
5- ما بعد الإختراق .. يغفل العديد من اصحاب المواقع عن هذه النقطة المهمة جدا .. و هي مرحلة استعادة الموقع .. قد يقوم صاحب الموقع او السيرفر بأغلاق الثغرات بعد ان يتم اختراقه .. و بعد زمن قليل يجد نفسه مفاجئ بأختراق آخر لنفس الموقع او السيرفر مع انه قد قام بأغلاق كافة الثغرات و استعاد الموقع .. فكيف تم ذلك ؟ ..
ابسط ما يمكن للمخترق فعله هو زراعة اسم مستخدم جديد في المنتدى يحمل عضوية في مجموعة المشرف العام .. يمكنه من العودة من العودة و اعادة عملية الأختراق مرة اخرى .. كما قد يقوم المخترق بزرع عدة ملفات شيل على المساحة .. اذا انمسح احد منها .. لجأ للآخر .. "و عادت حليمة لعادتها القديمة" .. كما اشدد على اهمية تغيير كلمات السر و خاصة بيانات قواعد البيانات من خلال لوحة التحكم .. لما لهذه الحركة من تاثير مهم في عملية منع الإختراق مرة أخرى ..
اتمنى ان اكون قد قمت بتوضيح الصورة لديكم ..
و ان كان الموضوع مكرر .. فأطلب السماح لذلك ..
ماجد ..