[شرح] تم اختراق منتداك؟؟ تعال ورجعه باسرع وقت قبل فوات الاوان
--------------
اولا احب اقول ان كتير جدا جدا من منتديانا القبطية
نادر جدا لما لاقى شرح لعمليات الاختراق وطرق الوقاية منها
وفى موضوعنا هذا هنشرح اذا ما تم اختراق منتداك فما الحل
ملاحظة:- الطريقة هذه للمنتديات الي تم اختراقها بشرط يكون المدير قادر على الدخول للوحة التحكم
طرق الاختراق الي هنعالجها هي :-
1- تم الاختراق من هاك الاهداءات الغير محمي بالكلمات الممنوعة
2- تغيير فايل ال index.php
3- بمسح قالب ال FORUMHOME
كيف معرفه طريقة الاختراق اعلاه :-
1- بخصوص هاك الاهداءات سيتم تحويلك الى موقع المخترق او الصفحة الي بيها رسالة الاختراق "حيظهر منتداك لمدة ثواني وبعدها سيتم تحويلك"
2- تغيير ملف index.php لن يظهر المنتدى الخاص بك اطلاقا وانما ستظهر رسالة الاختراق في الحال
3- مسح قالب FORUMHOME لا يمكن تمييزه عن طريقة index.php الا اذا تم تحويل فايل ال index.php
الى index.html فحتعرف التغيير في رابط المنتدى
طريقة استرجاع المنتدى حسب كل طريقة :-
1- هاك الاهداءات :-
شيل كود الاهداءات من قالب الFORUMHOME والي هو هذا
رمز:
<!-------- ehdaa By 7beebi.com & omanidream.net & vbulletin.ae ------------>
<if condition="$vboptions[ehdaa_active]">
<table class="tborder" cellpadding="$stylevar[cellpadding]" cellspacing="$stylevar[cellspacing]" border="0" width="100%">
<thead>
<tr>
<td class="thead" align="center">
<a style="float:$stylevar[right]" href="#top" onclick="return toggle_collapse('beebi_ehdaa')"><img id="collapseimg_forumhome_activeusers" src="$stylevar[imgdir_button]/collapse_thead$vbcollapse[collapseimg_forumhome_activeusers].gif" border="0" /></a>$vbphrase[ehdaa]</td>
</tr>
</thead>
<tbody id="collapseobj_beebi_ehdaa" style="$vbcollapse[collapseobj_beebi_ehdaa]">
<tr>
<td class="alt1">
$ehdaa_move
<div align="left" class="smallfont"><a href="#" onclick="********open('ehdaa.php?do=add','add','statusbar=yes,menubar=no,toolbar=no,scrollbars=yes,resizable=yes,width=500,height=300');">$vbphrase[add_ehdaa]</a></div>
</td>
</tr>
</tbody>
</table>
<br />
</if>
<!--------/ehdaa------------>
وبعد كدة والقليل لا يعرفها اضافة كود بلف الاهداء نفسه على موقعك لان مهما اضفت كلمات ممنوعة فهناك 3 ثغرات بكود الاهدااء
وهما:
1- ثغرة من النوع XSS وهي معروفة من الجميع وهي تتسبب في وضع كود جافا سكريبت لتحويل المنتدى أو عرض رسالة أو ......
2- ثغرة من النوع SQL Injection وهي تمكن المخترق من الحصول على أي معلومة من قاعدة البيانات مثل الإيميلات او الآيبيهات أو الرسائل الخاصة أو كلمات المرور (أي نعم MD5 لكن هناك طرق لاستخدامها في الدخول للمنتدى) أو ......
3- إمكانية إضافة إهداء حتى ولو لم يقم المدير بتفعيل العضوية أو حتى لو لم يكتب أي مشاركة )مهما كان عدد المشاركات المطلوب).
بالنسبة للثغرة الأولى لأنهم يضعون بعض الأكواد حين أن أكواد التحويل كثيرة جداً.
أما بالنسبة للثانية فالقليل القليل القليل من يقوم بسد هذه الثغرة.
أما بالنسبة للثالثة فأقل من القليل من يعلم بها.
اولا افتح ال FTP وادخل مجلد منتداك ال vb
ستجد ملف الاهداء ehdaa.php
افتحه وعدل فيه الاتى
قبل كود
كود PHP:
php?>
اضف الاتى
كود PHP:
<?$MyCensorArray=array("#","'",'"',"<",">","$","=");$MyArray_String_Keys=array_keys($_REQUEST);for ($MyLoopInteger=0;$MyLoopInteger<=count($_REQUEST)-1;$MyLoopInteger++){for ($MyLoopInteger2=0;$MyLoopInteger2<=count($MyCensorArray)-1;$MyLoopInteger2++){$_REQUEST[$MyArray_String_Keys[$MyLoopInteger]]= str_replace($MyCensorArray[$MyLoopInteger2],"&#" . ord($MyCensorArray[$MyLoopInteger2]) . ";",$_REQUEST[$MyArray_String_Keys[$MyLoopInteger]]);}}$MyArray_String_Keys=array_keys($_POST);for ($MyLoopInteger=0;$MyLoopInteger<=count($_POST)-1;$MyLoopInteger++){for ($MyLoopInteger2=0;$MyLoopInteger2<=count($MyCensorArray)-1;$MyLoopInteger2++){$_POST[$MyArray_String_Keys[$MyLoopInteger]]= str_replace($MyCensorArray[$MyLoopInteger2],"&#" . ord($MyCensorArray[$MyLoopInteger2]) . ";",$_POST[$MyArray_String_Keys[$MyLoopInteger]]);}}$MyArray_String_Keys=array_keys($_GET);for ($MyLoopInteger=0;$MyLoopInteger<=count($_GET)-1;$MyLoopInteger++){for ($MyLoopInteger2=0;$MyLoopInteger2<=count($MyCensorArray)-1;$MyLoopInteger2++){$_GET[$MyArray_String_Keys[$MyLoopInteger]]= str_replace($MyCensorArray[$MyLoopInteger2],"&#" . ord($MyCensorArray[$MyLoopInteger2]) . ";",$_GET[$MyArray_String_Keys[$MyLoopInteger]]);}}if ($_REQUEST['do'] == "save"){$MyRefContains="$_SERVER[HTTP_REFERER]";if (!isset($_SERVER['HTTP_REFERER']) || strpos($_SERVER['HTTP_REFERER'],$MyRefContains)===false) {echo "<B>Sorry</B>, Your request method was denied by <a href='http://uptop1.com/vb/member.php?u=17'>MMA</a>.";exit;}}?>
ومن غير ما تضيف كلمات ممنوعة للاهداء
بقم ليكم هاك يحميك من اكواد التحويل نهائيا من جميع الاكواد
للتحميل اضغط هنا
انتهينا الحمد لله من الاهداءات
--------------
2- تغيير فايل ال index.php :-
هذه اسهل طريقة
قم باعادة رفع فايل index.php الخاص بنسختك
ومنتداك هيشتغل بازن المسيح
-------------------
3- بمسح قالب ال FORUMHOME :-
هناك طريقتين لحل هذا المشكلة :-
أ - لو كان عندك نسخة من قالب الفورم هوم استبدلها بالقالب الحالي وهيرجع منتداك شغال تمام
ب - استرجاع قالب ال فورم هوم عن طريق
لوحة التحكم
الستايلات والقوالب
البحث في القوالب واكتب فيه FORUMHOME واختر الستايل واعمل بحث
هتلاقي انه اسمه القالب احمر ااشر على القالب حتظهر خيارات على اليسار اسمها "لتحكمات" اختر اختيار "تراجع" وسيتم طلب تاكيد التراجع ووافق على التراجع وبهذه حيرجع الفورم هوم على الاصل
ومبروك رجوع منتداك
مش بطلب من كل من يرى الموضوع الشكر
بل حاجة بسيطة وهى الصلاة لاجلى
الرب يبارككم
--------------
اولا احب اقول ان كتير جدا جدا من منتديانا القبطية
نادر جدا لما لاقى شرح لعمليات الاختراق وطرق الوقاية منها
وفى موضوعنا هذا هنشرح اذا ما تم اختراق منتداك فما الحل
ملاحظة:- الطريقة هذه للمنتديات الي تم اختراقها بشرط يكون المدير قادر على الدخول للوحة التحكم
طرق الاختراق الي هنعالجها هي :-
1- تم الاختراق من هاك الاهداءات الغير محمي بالكلمات الممنوعة
2- تغيير فايل ال index.php
3- بمسح قالب ال FORUMHOME
كيف معرفه طريقة الاختراق اعلاه :-
1- بخصوص هاك الاهداءات سيتم تحويلك الى موقع المخترق او الصفحة الي بيها رسالة الاختراق "حيظهر منتداك لمدة ثواني وبعدها سيتم تحويلك"
2- تغيير ملف index.php لن يظهر المنتدى الخاص بك اطلاقا وانما ستظهر رسالة الاختراق في الحال
3- مسح قالب FORUMHOME لا يمكن تمييزه عن طريقة index.php الا اذا تم تحويل فايل ال index.php
الى index.html فحتعرف التغيير في رابط المنتدى
طريقة استرجاع المنتدى حسب كل طريقة :-
1- هاك الاهداءات :-
شيل كود الاهداءات من قالب الFORUMHOME والي هو هذا
رمز:
<!-------- ehdaa By 7beebi.com & omanidream.net & vbulletin.ae ------------>
<if condition="$vboptions[ehdaa_active]">
<table class="tborder" cellpadding="$stylevar[cellpadding]" cellspacing="$stylevar[cellspacing]" border="0" width="100%">
<thead>
<tr>
<td class="thead" align="center">
<a style="float:$stylevar[right]" href="#top" onclick="return toggle_collapse('beebi_ehdaa')"><img id="collapseimg_forumhome_activeusers" src="$stylevar[imgdir_button]/collapse_thead$vbcollapse[collapseimg_forumhome_activeusers].gif" border="0" /></a>$vbphrase[ehdaa]</td>
</tr>
</thead>
<tbody id="collapseobj_beebi_ehdaa" style="$vbcollapse[collapseobj_beebi_ehdaa]">
<tr>
<td class="alt1">
$ehdaa_move
<div align="left" class="smallfont"><a href="#" onclick="********open('ehdaa.php?do=add','add','statusbar=yes,menubar=no,toolbar=no,scrollbars=yes,resizable=yes,width=500,height=300');">$vbphrase[add_ehdaa]</a></div>
</td>
</tr>
</tbody>
</table>
<br />
</if>
<!--------/ehdaa------------>
وبعد كدة والقليل لا يعرفها اضافة كود بلف الاهداء نفسه على موقعك لان مهما اضفت كلمات ممنوعة فهناك 3 ثغرات بكود الاهدااء
وهما:
1- ثغرة من النوع XSS وهي معروفة من الجميع وهي تتسبب في وضع كود جافا سكريبت لتحويل المنتدى أو عرض رسالة أو ......
2- ثغرة من النوع SQL Injection وهي تمكن المخترق من الحصول على أي معلومة من قاعدة البيانات مثل الإيميلات او الآيبيهات أو الرسائل الخاصة أو كلمات المرور (أي نعم MD5 لكن هناك طرق لاستخدامها في الدخول للمنتدى) أو ......
3- إمكانية إضافة إهداء حتى ولو لم يقم المدير بتفعيل العضوية أو حتى لو لم يكتب أي مشاركة )مهما كان عدد المشاركات المطلوب).
بالنسبة للثغرة الأولى لأنهم يضعون بعض الأكواد حين أن أكواد التحويل كثيرة جداً.
أما بالنسبة للثانية فالقليل القليل القليل من يقوم بسد هذه الثغرة.
أما بالنسبة للثالثة فأقل من القليل من يعلم بها.
اولا افتح ال FTP وادخل مجلد منتداك ال vb
ستجد ملف الاهداء ehdaa.php
افتحه وعدل فيه الاتى
قبل كود
كود PHP:
php?>
اضف الاتى
كود PHP:
<?$MyCensorArray=array("#","'",'"',"<",">","$","=");$MyArray_String_Keys=array_keys($_REQUEST);for ($MyLoopInteger=0;$MyLoopInteger<=count($_REQUEST)-1;$MyLoopInteger++){for ($MyLoopInteger2=0;$MyLoopInteger2<=count($MyCensorArray)-1;$MyLoopInteger2++){$_REQUEST[$MyArray_String_Keys[$MyLoopInteger]]= str_replace($MyCensorArray[$MyLoopInteger2],"&#" . ord($MyCensorArray[$MyLoopInteger2]) . ";",$_REQUEST[$MyArray_String_Keys[$MyLoopInteger]]);}}$MyArray_String_Keys=array_keys($_POST);for ($MyLoopInteger=0;$MyLoopInteger<=count($_POST)-1;$MyLoopInteger++){for ($MyLoopInteger2=0;$MyLoopInteger2<=count($MyCensorArray)-1;$MyLoopInteger2++){$_POST[$MyArray_String_Keys[$MyLoopInteger]]= str_replace($MyCensorArray[$MyLoopInteger2],"&#" . ord($MyCensorArray[$MyLoopInteger2]) . ";",$_POST[$MyArray_String_Keys[$MyLoopInteger]]);}}$MyArray_String_Keys=array_keys($_GET);for ($MyLoopInteger=0;$MyLoopInteger<=count($_GET)-1;$MyLoopInteger++){for ($MyLoopInteger2=0;$MyLoopInteger2<=count($MyCensorArray)-1;$MyLoopInteger2++){$_GET[$MyArray_String_Keys[$MyLoopInteger]]= str_replace($MyCensorArray[$MyLoopInteger2],"&#" . ord($MyCensorArray[$MyLoopInteger2]) . ";",$_GET[$MyArray_String_Keys[$MyLoopInteger]]);}}if ($_REQUEST['do'] == "save"){$MyRefContains="$_SERVER[HTTP_REFERER]";if (!isset($_SERVER['HTTP_REFERER']) || strpos($_SERVER['HTTP_REFERER'],$MyRefContains)===false) {echo "<B>Sorry</B>, Your request method was denied by <a href='http://uptop1.com/vb/member.php?u=17'>MMA</a>.";exit;}}?>
ومن غير ما تضيف كلمات ممنوعة للاهداء
بقم ليكم هاك يحميك من اكواد التحويل نهائيا من جميع الاكواد
للتحميل اضغط هنا
انتهينا الحمد لله من الاهداءات
--------------
2- تغيير فايل ال index.php :-
هذه اسهل طريقة
قم باعادة رفع فايل index.php الخاص بنسختك
ومنتداك هيشتغل بازن المسيح
-------------------
3- بمسح قالب ال FORUMHOME :-
هناك طريقتين لحل هذا المشكلة :-
أ - لو كان عندك نسخة من قالب الفورم هوم استبدلها بالقالب الحالي وهيرجع منتداك شغال تمام
ب - استرجاع قالب ال فورم هوم عن طريق
لوحة التحكم
الستايلات والقوالب
البحث في القوالب واكتب فيه FORUMHOME واختر الستايل واعمل بحث
هتلاقي انه اسمه القالب احمر ااشر على القالب حتظهر خيارات على اليسار اسمها "لتحكمات" اختر اختيار "تراجع" وسيتم طلب تاكيد التراجع ووافق على التراجع وبهذه حيرجع الفورم هوم على الاصل
ومبروك رجوع منتداك
مش بطلب من كل من يرى الموضوع الشكر
بل حاجة بسيطة وهى الصلاة لاجلى
الرب يبارككم