السلام عليكم ورحمة الله وبركاته .
قبل ايام قليلة اتصل بي احد الاخوة و يواجه مشكلة مع احد المواقع المستضافة لدية حيث يتم ارسال رسائل بكميات كبيرة جدا و محتوى غير أخلاقي , ويخبرني أن صاحب الموقع ينكر اي ارسال
من موقعة خاصة و الموقع اسلامي و صاحب الموقع على خلق حسن , ويستحيل ان يقوم بمثل هذه الامور .
وكانت المشكلة في ملف اتصال ( اخبر صديق عن الموقع ) , والذي تم استغلاله من مجموعة لا تخاف الله في ارسال رسائل غير اخلاقية وبكميات كبيرة .
ماذا نستخدم في مواقعنا , نستخدم سكريبات و برامج تحتوي على العديد من الثغرات , و منها على سبيل المثال ارسال القصيدة لصديق , ارسال الملف لصديق , ارسال المقال لصديق , ارسال الصورة لصديق , ارسال الفتوى لصديق الخ ...
يبدوا أن اخر صيحات الهكر هي استغلال ملفات الاتصال و خاصة ملفات بي اتش بي من أجل ارسال Spam بكميات كبيرة جدا ً , و من خلال البحث تبين أن 90% من المواقع العربية تستخدم برامج متشابه في الاتصال بمدير الموقع او ارسال الموقع لصديق وهي ثغرة خطيرة جدا .
من هذه الملفات senf_fend.php اخبر صديق عن الموقع .
كيف يتم الارسال :
كود PHP:
for ($i= 0; $i <= $count; $i++) {
mail($f[$i], $Subject, $Message,"From: $Name<$Email>\r\nReply-To: $Name<$Email>\r\n");
}
لا يحتاج الى اي شرح الامر سهل جدا استغلال المتغير $Email بكل سهولة في الارسال .
ايضاً ملفات الاتصال بنا .
mailform.php المستخدمة في مجموعة كبيرة من المواقع تحتوي على ثغرات قاتلة ويمكن استغلالها بكل سهولة .
كيف يتم استغلال موقعك لارسال هذه الرسائل .
البحث في محركات البحث عن اسماء ملفات الاتصال وهي بالعادة :
feedback.php
mailform.php
mail.php
send.php
s_frnd.php
contactus.php
contact.php
send_mail.php
sendsound.php
send.php
او البحث عن عبارة اخبر صديق , ارسال الموقع لصديق , للاتصال بنا .
كما هو الحال في حالة الرغبة في توفير برنامج او سكريب في مواقعنا , ما ذا يحدث البحث في أهم مواقع السكريبات العربية و الاجنبية عن السكريب و تجريب السكريب و تغيير الشكل و الحقوق و تركيب السكريب دون التحقق من مصدر السكريب او العيوب البرمجية و الثغرات .
فقط اخبر عن صديق او للاتصال بنا و السلام .
الحال الامثل :
استخدام بريدك في الموقع لمن رغب في الاتصال بك و تشفير الصفحة التي تحتوي على البريد حتى لا يضاف الى القوائم البريدية وهناك اكثر من برنامج وضعها الاخ ابو منار في ادوات لاصحاب المواقع .
استخدام فورم بريدي يخزن الرسائل في قواعد البيانات و يتم دخول المشرف ويجد الرسائل من الزوار , ويمكن وضع الرسائل في ملف txt بدل من قواعد البيانات .
حماية الملف الذي يستقبل الرسائل و يقوم بإرسالها.
تغيير اسماء الملفات الى اسماء اخرى غير contactus.php و تغيير اسماء المتغيرات بها .
الاشتراك في مواقع توفر خدمة المراسلة على بريدك مثل خدمة موقع راسلني و غيرها .
التأكد من اي ملف قبل وضعة على الموقع .
اتمنى ان يكون الموضوع مفيد للجميع خاصة و ان هذه الثغرات مستغلة بشكل كبير جدا هذه الايام .
اخوكم بدر العنزي .