الحل لوصول المخترق لبيانات ملف config حتى و ان كان مشفراً

[Developer.]

السلام عليكم,,

تسلم يالعندليب بجربه واسف جداً على تحويل الموضوع للتكلم عن الزند :$

اخ WayheK
php.net/chr
دالة تستخدم ASCII-table اقرأ عنها فى الرابط السابق

[الدحمي]

برنامج Zend Guard 4.0.1 للأخوان اللي طلبوه
-------------------------------------------------------

عزيزي وأستاذي العندليب ...

حسب ما فهمته ان التعديل الذي قمت بعمله لا يقوم بالحماية ولكن فقط يقوم بتأخير عملية الاختراق إن حدثت .

وما رأيك استاذي في وضع القاعده على سيرفر آخر وربطها مع السيرفر الموجوده عليه ملفات المنتدى ؟ أعتقد انه قد يكون حل مؤقت ولكن بالتأكيد راح يسبب بطء في المنتدى

[الخيماوي]

السلام عليكم ورحمة الله وبركاته

اخوي العندليب جزاك الله الف خير على الطريقه للنسخ 3.5

لكن في مشكله عند الدخول لتعديل تصاريح المدير العام
تظهر ها الرساله

معذرة, غير مسموح لك بتحرير تصاريح المدير العام.

إذا كنت تعتقد بأنه يجب أن تمتلك التصاريح لدخول هذه الصفحة, ستحتاج لتحرير متغير $config['SpecialUsers']['superadministrators'] في ملف includes/config.php.

للسماح للمدير العام بالوصول إلى هذه الصفحة, حرر المتغير لتضمين هويات عموم المدراء الذين يجب أن يكون عندهم وصول لهذا, فاصلاً كل هوية مستخدم بالفاصلة, كهذا:

$config['SpecialUsers']['superadministrators'] = '1,25,57';

للسماح لمدير عام واحد للوصول إلى هذه الصفحة, ببساطة أضف هوية المستخدم بدون الفاصلة, كهذا:

$config['SpecialUsers']['superadministrators'] = '1';


عدلت البيانات في ملف الدتاستو . لكن مافي فايده .. وعدلت على الكوفيج .. ونفس المشكله ... ياليت تفيدنا بالحل

اخوك
الخيماوي

[Arabse_NeT]

الحين بتنزل النسخة 3.6.0
^_^

[العندليب]

الزميل mahmoud009
وعليكم السلام ورحمة الله وبركاته
نحن نتكلم في مسألة الوصول للكونفق وانت تتكلم في مسألة تصاريح 777 فما دخلها بالموضوع!!!

الزميل كواليتي
أحبك الله الذي أحببتنا فيه
شكرا على المرور

الزميل WayheK
من الأفضل أن لا تسأل هذا السؤال إلا إذا كنت مبرمج ولا نريد أن نخوض في نقاش لماذا وكيف فدع الأطفال تقهر.


الزملاء مُجَاهِد و rahtaw و -Developer-
شكرا على المرور


الزميل الدحمي
إذا كنت ترى ان الطريقه تؤخر المخترق فقط فتفضل أرنا كيف سيصل لمعلومات الكونفق بعد تطبيق هذه الطريقه.
واما وضع القاعده على خادم والسكربت على خادم فماهو الهدف من ذلك ؟
ليس حلا لمسألة الكونفق فالكونفق لا يزال يحمل بيانات دخولك للقاعده ونحن نتكلم عن حماية الكونفق بالزند بطريقه صحيحه بحيث لا يستطيع الوصول لأي بيانات لأن الزند عقدهم ولا يوجد فك لشفرته الحاليه ( إصدار 4 ) أما الإصدارات القديمه فلها طرق فك تشفير.


الزميل الخيماوي
التعديل على الكونفق لا يفيد نفعاً لأنه أصبح ملف تمويه الان الملف الهدف هو datastore_info
ياليت توضح لي بأي سكربت حدثت معك المشكله لأنني لم أعرف من شرحك ماذا تقصد!!


الزميل Arabse_NeT
وحتى لو صدرت النسخه 3.6 فطريقة عرض الـ config لن تختلف عن سابقتها لذلك يجب حماية هذا الملف المكشوف.

تحياتي للجميع

[e3sarcom]

اخي العندليب جزاك الله خيرا

تظهر لي مشكلة يا ريت تشوفلها حل

require('./includes/datastore_info.php');
Fatal error: Call to a member function on a non-object in /home/××××/public_html/vb/includes/init.php on line 539

[العندليب]

اخي العندليب جزاك الله خيرا

تظهر لي مشكلة يا ريت تشوفلها حل

require('./includes/datastore_info.php');
Fatal error: Call to a member function on a non-object in /home/××××/public_html/vb/includes/init.php on line 539

راجع خطوات التعديل مره أخرى
يبدو أنك نسيت شيئاً فملف Init.php لا يحتوي الا على 410 من الأسطر ورسالة الخطأ لديك تقول خطأ في سطر 539 !!!!!!!

[e3sarcom]

Init.php لا يحتوي الا على 410 من الأسطر ورسالة الخطأ لديك تقول خطأ في سطر 539 !!!!!!!

اكثر لاني مركب كثير هاكات

[الخيماوي]

العندليب عزيزي .. انا قمت بالتعديل وعمل الملفات مثل ماتفضلت يالغالي بشرحك واشتغل المنتدى تمام وكل شي

لكن في لوحة التحكم نفسها .. اذا اردت ان اضع اكثر من اداري .. وجيت ابا اعدل على صلاحياتهم من لوحة التحكم يقولي لايمكن التعديل على صلاحيات المدير العام لازم افتح ال config او بالاحرى بعد التعديل datastore_info.php واضافه ارقام ال supreradminstrator

لازم اعدل هذا السطر

كود:

$config['SpecialUsers']['superadministrators'] = '';

اعدل عليه وارفعه لكن يرد يطلب مني التعديل ووضع ارقام عضويات الااداره

حاول بنفسك تعملها على النسخ 3.5 وادخل على مجموعة المستخدمين وبعدها تصاريح المدير العام راح تشوفها لاتعمل


ومشكوور عزيزي

[الدحمي]

الزميل الدحمي
إذا كنت ترى ان الطريقه تؤخر المخترق فقط فتفضل أرنا كيف سيصل لمعلومات الكونفق بعد تطبيق هذه الطريقه.
واما وضع القاعده على خادم والسكربت على خادم فماهو الهدف من ذلك ؟
ليس حلا لمسألة الكونفق فالكونفق لا يزال يحمل بيانات دخولك للقاعده ونحن نتكلم عن حماية الكونفق بالزند بطريقه صحيحه بحيث لا يستطيع الوصول لأي بيانات لأن الزند عقدهم ولا يوجد فك لشفرته الحاليه ( إصدار 4 ) أما الإصدارات القديمه فلها طرق فك تشفير.

استاذي العندليب

عندما ذكرت ان الطريقة تؤخر المخترق فقط كنت أقصد ان المخترق لن يصعب عليه الوصول إلى الملف datastore_info.php , قد تقول ان الملف قد تم تشفيره ولن يستطيع فك التشفير , إن كان لا يستطيع فك التشفير لماذا نقوم بكل هذه التعديلات بدلا من أن نقوم بتشفير ملف config.php بنسخة 4 ؟


أما عن وضع القاعدة على خادم آخر فأنا كنت أقصد ان المخترق عندما يحصل على بيانات ملف config.php ويجد أن القاعده على خادم آخر فسوف يضطر للقيام بآختراق الخادم الاخر .
( بصراحة لا أعرف ان كان المخترق يستطيع الوصول للقاعدة التي على خادم اخر بمجرد الحصول على اسم المستخدم وكلمة المرور من ملف config.php ولذلك أنا هنا فقط استفسر عن جدوى هذا الحل )

آسف على الإطالة عزيزي ... وشكرا على وقتكم الثمين

[العندليب]

العندليب عزيزي .. انا قمت بالتعديل وعمل الملفات مثل ماتفضلت يالغالي بشرحك واشتغل المنتدى تمام وكل شي

لكن في لوحة التحكم نفسها .. اذا اردت ان اضع اكثر من اداري .. وجيت ابا اعدل على صلاحياتهم من لوحة التحكم يقولي لايمكن التعديل على صلاحيات المدير العام لازم افتح ال config او بالاحرى بعد التعديل datastore_info.php واضافه ارقام ال supreradminstrator

لازم اعدل هذا السطر

كود:

$config['SpecialUsers']['superadministrators'] = '';

اعدل عليه وارفعه لكن يرد يطلب مني التعديل ووضع ارقام عضويات الااداره

حاول بنفسك تعملها على النسخ 3.5 وادخل على مجموعة المستخدمين وبعدها تصاريح المدير العام راح تشوفها لاتعمل


ومشكوور عزيزي

بعض السكربتات في الفي بي تعتمد على قيمة superadministrators والتي قمنا بإزالتها في ملف الـ datastore_info.php في هذا السطر:

كود PHP:

unset($vbulletin->config); 


قم بتغييره الى:

كود PHP:

unset($vbulletin->config['MasterServer'],$vbulletin->config['Database'],$vbulletin->config['SlaveServer']); 


وسيعمل معك سكربت الصلاحيات.


الزميل الدحمي

عندما ذكرت ان الطريقة تؤخر المخترق فقط كنت أقصد ان المخترق لن يصعب عليه الوصول إلى الملف datastore_info.php , قد تقول ان الملف قد تم تشفيره ولن يستطيع فك التشفير , إن كان لا يستطيع فك التشفير لماذا نقوم بكل هذه التعديلات بدلا من أن نقوم بتشفير ملف config.php بنسخة 4 ؟

تشفير الزند تم كسره للإصدارات القديمه لذلك ذكرت لك في كلامي استخدم اصدار 4 ومافوق
اما مسألة التعديلات الكثيره التي وضعناها فلكي نحمي الملف من مسألة التضمين ( Include ) ومن ثم طباعة المتغيرات الموجوده وهذه حيله لجأ لها شخص هنا بسوالف سوفت وللأسف وضحها علانيه والحمدلله أغلق المشرف مووودي موضوعه فجزاه الله كل خير.
أما طريقة تركيب القاعده على خادم اخر فهي ليست حلاً لأن المخترق سوف يتصل بالقاعده من خادم المنتدى المخترق

دمتم في رعاية الله

[planetbh.com]

الله يجزيك خير الجزاء

[محمود حسين]

الزميل mahmoud009
وعليكم السلام ورحمة الله وبركاته
نحن نتكلم في مسألة الوصول للكونفق وانت تتكلم في مسألة تصاريح 777 فما دخلها بالموضوع!!!

أما عن دخلها، فهي - كما تعلم - الخطوة الأولى للاختراق
فلماذا نترك السبب الرئيسي ونلجأ لأنصاف الحلول...

فلولا التصاريح 777 لما أستطاع أي عابث أن يتصفح ملفات الموقع
ولا احتجنا الى تشفير الملفات أو غيره
وأعتقد انك تفهمني جيداً عزيزي

عموما هي محاولة جيدة جزاك الله خيراً

[Milad]

شكرا لك اخي العندليب

وصدقا اضحكتني من كل قلبي

فهل يعقل ان يكون المخترقون الاولاد بهذا الجهل؟

شكرا لك من كل قلبي وىسف على تاخري بالاطلاع بسبب الامتحانات

[العندليب]

أما عن دخلها، فهي - كما تعلم - الخطوة الأولى للاختراق
فلماذا نترك السبب الرئيسي ونلجأ لأنصاف الحلول...

فلولا التصاريح 777 لما أستطاع أي عابث أن يتصفح ملفات الموقع
ولا احتجنا الى تشفير الملفات أو غيره
وأعتقد انك تفهمني جيداً عزيزي

عموما هي محاولة جيدة جزاك الله خيراً

فهمت ماتقصد يازميلي الكريم
ولكن هل تضمن أن تكون المواقع الأخرى الموجوده على نفس الخادم أمنه ولا تستخدم تصاريح 777 ؟
أعتقد أنك ستقول لا أضمن طبعاً لذلك كان هذا حلاً لمسألة الوصول لملف الـ config من أحد المساحات الموجوده معك على نفس الخادم.
إن شاء الله وضحت الصوره من هدف هذا الموضوع.


الزميل Milad
عفوا وأهلا بك مجدداً وإن شاء الله جاوبت زين في الامتحانات
وأما بخصوص ملاحظتك حول المخترقون الأولاد فأنا أرى أن أغلبهم جهله و (العقرب الأحمر) أكبر مثال على ذلك.
تفضل طبق طريقتك التي أعلنتها قبل مده على هذا الموضوع.
بإنتظار النتائج.