دروس ونصائح في الحماية (حتى لا تتعرض للاختراق)

عـــاشـ الليل ـق · 01-01-2008, 07:55

السلام عليكم ورحمة الله وبركاته
اخواني الكرام ان الكثير منا يجهل اساسيات الحماية للمنتدى بعد انشائه فيتفاجا بالاختراق وتغيير المحتويات وما للحماية من اهمية كبيرة في سير الموقع وبقائه. هنا بعض الدروس و النصائح التي ستفيدكم حتما في حماية مواقعكم من الاختراقات وعبث ذوي القلوب الضعيفة في محتوياته .
يجب ان نعلم ان اساسيات الحماية تعتمد على 3 مصادر ان تم الاهتمام بها وحمايتها تمت الحماية الشاملة للموقع باذن الله.
اولا : نوع السكريبت المستخدم للمنتدى ومدى خلوه من الثغرات وطريقة الحماية (ينصح بسكريبت الفي بي لقلة الثغرات فيه نوعا ما وتوفر الحماية)
ثانيا: نوع السيرفر الذي يعمل عليه المنتدى ومدى حمايته(ينصح باستخدام سيرفرات اللينكس لصعوبة اختراقه وتوفر الحماية عليه)
ثالثا: حماية جهاز الادمن وخلوه من الفيرواسات (ينصح باستخدام برامج الحماية واخر التحديثات مع عدم حفظ كلمات سر الاف تي بي او كلمة الدخول للمنتدى على الجهاز وتجنب فتح الرسائل المشبوهة في الايميل او تحميل برامج او مرفقات دون فحصها اولا ببرامج الحماية)
حيث ان المخترق يعمد الى اختراق المنتدى عن طريق احدى هذه المصادر.
ناتي الان لشرح كيفية حماية ملفات المنتدى لذا يرجى الانتباه والتطبيق بعد الفهم.
1.ينصح باستخدام اخر اصدارات المنتدى مع متابعة التعديلات والثغرات التي تظهر من الشركة الام لتفادي الثغرات في النسخة.
2.الكلمات الممنوعة: ضع محتوى الملف في خيارات الرقابة من لوحة التحكم لمنع سكريبتات التحويل.

تحميل ملف الكلمات المنوعة من المرفقات

3.Cracker Tracker:لقتل اي عملية سكريبت وافشالها( مع احضار IP المخترق وعدد محاولات الاختراق الفاشلة).بالفعل سكريبت قوي جدا وفعال وينصح به.

لتحميل cracker tracker من المرفقات

4. اخفاء ملفات المنتدى عن العيون : قم بفتح ملف txt وانسخ هذه الكلمات داخله ثم احفظه باسم robots وانقل الملف داخل ملفات المنتدى.

كود PHP:

  User-agent: Mediapartners-Google*  
Disallow: User-agent: * Disallow: admincp.php 
 Disallow: /admincp/index.php 
 Disallow: /images/  
Disallow: /includes/  
Disallow: /includes/cron/ 
 Disallow: /includes/datastore/  
Disallow: /includes/paymentapi/ 
 Disallow: /includes/xml/  
Disallow: /massy/ 
Disallow: /modcp/index.php  
Disallow: /install/  
Disallow: /customprofilepics/ 
 Disallow: /customavatars/  
Disallow: /cpstyles/  
Disallow: /clientscript/  
Disallow: /archive/ 
Disallow: /cron/  
Disallow: /datastore/ 
 Disallow: /paymentapi/  
Disallow: /xml/ 
 Disallow: /modcp/

او هنا ملف جاهز للrobots حمله
robots

5.التعديل على ملف الكونفيج(config) الموجود في انكلودز(includes)
افتح الملف باي برنامج لتحرير الملفات editor او wordpad او الفرونت بيج
وعدل التالي

ابحث عن الكود التالي وعدل كلمة modcp وadmincp لاي اسم اخر مثلا adminx وmodx

كود PHP:

  $config['Misc']['admincpdir'] = 'admincp';

كود PHP:

  [color=#007700] $config['Misc']['modcpdir'] = 'modcp';  [/color]
[color=#007700][/color]

والان اذهب الى ملفات المنتدى وعدل اسم الملفات modcp وadmincp للاسم الذي اخترته في ملف الكونفج adminx وmodx
ملاحظة يفضل وضع ملفات باسم admincp و modcp لكن فاضية وخالية من المحتوى مع وضع جدار حماية عليها ايضا لتشتيت تركيز المخترق واستنفاذ قواه على ملفات خالية فيصاب بالاحباط في النهاية وفقدان الاهتمام باختراق المنتدى.
6.تغيير الprefixفي الconfig
ابحث عن الكود

كود PHP:

  $config['Misc']['****ieprefix'] = 'bb';

واستبدل ال bb لا شيء اخر مثلا wggtgz3234
7.تابع التعديل في الconfig
ابحث الكود

كود PHP:

  $config['SpecialUsers']['canrunqueries'] = '';

وضع رقم 1 بين العلامة '' لتصبح

كود PHP:

  $config['SpecialUsers']['canrunqueries'] = '1';

ابحث الكود

كود PHP:

  $config['SpecialUsers']['undeletableusers'] = '';

وضع رقم 1 بين العلامة '' لتصبح

كود PHP:

  $config['SpecialUsers']['undeletableusers'] = '1';

لحمايتك من الاوامر التخريبة ومحاولات تغيير معلومات دخولك للمنتدى
8. تغيير مكان الconfig وتشفيره (انا لا انصحه )
9.تغيير تصريح ملفات المنتدى:يفضل التصريح للملفات 111 اذا واجهت مشكلة فهذا يعني ان السيرفر لا يستطيع قراءة الملفات ايضا لذلك اجعلها 751 وكن حذر جدا من استخدام التصريح 777 وينصح بشدة عدم استخدامه.
10.وضع جدار حماية على الملفات التالية
modcp وadmincp وincludes
مهم جدا ويتم عن طريق السي بانل توجد شروحات كثيرة بهذا الخصوص
11. حماية المنتدى من المراقبين
توجه الى vb/modcp/thread.php وقم بتغيير thread.php لا اسم اخر وبالتالي تمنع المراقبين من حذف كل المواضيع من المنتدى لان هذه الصلاحية موجودة في لوحة تحكم المراقب
12.يجب ان يكون اسمك وكلمة المرور صعبة وتحتوي على مجموعة من الاشارات والرموز والارقام مع تغيرها دوريا وطلب من المراقبيين تغيير كلمات المرور ايضا
13.ينصح بعمل مسميين احدهما ترد به على الاعضاء ويكون ليس له اي صلاحية والاخر يستطيع الدخول للوحة التحكم لكنه مخفي عن الانظار.
14.يفضل تعطيل اي شيء لاتحتاجه في المنتدى مثل نظام الدفع او قائمة الاعضاء او الاعلانات الادارية لان بها ثغرات وهي غير مهمة .وينصح بشدة عدم تركيب منتجات او هاكات كثيرة لانها بالاضافة لامكانية احتوائها على الثغرات تؤثر على اداء المنتدى وسرعته لذلك ركب فقط ماتحتاجه بالفعل من هاكات وبعد فحصها من الخبراء
15.احذف ملف الانستول نهائي فانت لاتحتاجه .
16.ينصح بمسح اصدارة المنتدى
17.تعديل في ملف ال newthread.php الموجود بملف المنتدى الرئيسي
ابحث عن

كود PHP:

  $newpost['title'] =& $vbulletin->GPC['subject'];

ضع اسفله مباشرة

كود PHP:

  if (preg_match('/<|>/',$newpost['title'])) { $newpost['title'] = str_replace(array("<", ">"), array("(", ")"), $newpost['title']); }

18.راقب من يحاول الدخول الى لوحة التحكم.
19.ينصح باستخدام نسخة المنتدى من الشركة الام لضمان خلو النسخة من عبث العابثين.
20. ينصح باخذ باك اب دوري( نسخة احتياطية في اسوا الاحتمالات )مرة كل اسبوع او كل يوم في حال ان المنتدى كبير

منقول للافادة العامة
بالتوفيق للجميع
اخوكم فوزي عربي

fajrnet · 01-01-2008, 08:23

بارك الله فيك اخوي الغالي
فعلا ملف الروبت مهم جدا

وعلى كل موقع ان يكون موجود عنده

الف تحية لمجهودك

عـــاشـ الليل ـق · 01-01-2008, 08:42

اقتباس

المشاركة الأصلية كتبت بواسطة fajrnet


	بارك الله فيك اخوي الغالي فعلا ملف الروبت مهم جدا وعلى كل موقع ان يكون موجود عنده الف تحية لمجهودك

شكرااااااااااااااااا لك اخي الغالي عن مرورك الكريم تحياتي اليك

الباهي · 11-04-2008, 08:09

جزاك الله خير الجزاء على هذا الدرس الرائع والمفيد احتسبه الله في موازين حسناتك.

اخي لو سمحت، عندي بعض الاستفسارات حول التغييرات التالية:

ــ لماذا غيرنا هنا:

اقتباس


	$config['SpecialUsers']['canrunqueries'] = '1';

ما فائدة الرقم واحد هذا؟

وايضاً هنا:

اقتباس


	$config['SpecialUsers']['undeletableusers'] = '1';

اريد ان تكرمت ان افهم.

ولك الشكر والامتنان سلفاً.

عمر محسن · 13-04-2008, 08:13

الموضوع نعم النقل و شكراً لك افدتنى كثيراً لانى لا اعرف شيئاً فى الحماية

صهيب · 22-07-2008, 11:43

أخي ممكن نعرف أين المرفقات؟؟

لا توجد أي مرفقات بالموضوع

حياك الله ومشكور على مجهودك الرائعع

شهزاد سفير الغرام · 22-07-2008, 07:38

يسلمو اخوي الغالي على ما تقدمه اناملك
مشكور

شهزاد سفير الغرام

ابو تركي · 23-07-2008, 01:28

يعطيك العافيه عاشق

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
منتداي تعرض للاختراق ساعدوني اخوتي الكرام	الزيباري	قسم مشاكل وطلبات المنتديات	4	01-06-2008 11:45
شلون اعرف ان المنتدى حقي قابل للاختراق او لا	sumo	قسم مشاكل وطلبات المنتديات	2	09-05-2008 10:45
هل تريد ان تختبر جهازك وتعرف ان كان قابل للاختراق... تفضل هنا	الشـــاهين	قسم خدمات الكمبيوتر والإنترنت	3	08-02-2008 03:27
موسوعة دروس للغة الـــ php 3	dr-d3m	قسم لغات البرمجة	11	31-01-2008 09:36
لعيون أبو مريم أول مجموعة دروس فلاش ام اكس بالفيديو	dr vb	قسم التصميم والجرافيكس	3	25-05-2007 02:14

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)