حماية تغير متغيرات معلومات قاعدة البيانات في ال vb

drsmash · 11-01-2008, 06:34 مساءً

بس الله الرحمن الرحيم

الموضوع منقول للافادة و لاهميته

صار من المعلوم ان سبب اختراق قالب الفورم هوم هو حقن قاعدة البيانات بمحتوى تخريبي
- جيد - رغم انه مشفر ملفات و ما الى ذالك - و التشفير في هذه الحالة لا توجد له فعالية بشكل مطلق -

كيف تم الحقن اذا ؟

جواب بشكل مبسط :

تم ذالك عن طريق معرفة معلومات قاعدة البيانات - اسم القاعدة + اسم مستخدمها + كلمة المرور الخاصة بها - و هذه المعلومات موجودة في ملف كونفيج - config.php - المنتدى

طيب الكل يقول كيف ذالك بالرغم من ان تصريح الملف هو 644 و هذا يعني لا امكانية للاطلاع عن محتوياته + ممكن يكون مشفر بزيادة

مهلا مهلا .... تم قراءة ملف config.php عن طريق ملف ثاني يتصل به مباشرة و هذا الاخير هو العمود الفقري للمنتدى بعد config.php

الآن كيف تم ذالك ؟

الجواب : هنا يأتي الجواب على شاكلة اجابة برمجية ..

لتبسيط الامور عليكم - تكتب معلومات القاعدة في ملف config.php كمتغير ليتم التعامل معه في php

و هذا المتغير بحكم ان php مفتوحة المصدر هو مكشوف و معلوم للجميع و بالتحديد هذه هي المتغيرات المقصودة بموضوعنا :

كود PHP:

// المتغير الاول هو لكتابة اسم قاعدة بيانات المنتدى

$config['Database']['dbnamer'] = 'اسم القاعدة';

// المتغير الثاني هو المخصص لكتابة اسم مستخدم قاعدة بيانات المنتدى

$config['MasterServer']['username'] = 'اسم المستخدم';

// المتغير الثالث هو المخصص لكتابة كلمة مرور قاعدة المنتدى

$config['MasterServer']['password'] = 'كلمة المرور';

الآن عرفنا لب القصيد

محور عملنا الآن هو تغيير او بالاصح اخفاء المتغيرات التي تحمل معلومات قاعدة بيانات المنتدى
يعني نحولها من متغير معلوم الى متغير مجهول عن انظار الآخرين

-- لا تترك محفظتك ظاهرة للعيان و تشتكي من السرقة --

الآن راح نسمي باسم الله و نبدأ العمل على سد الباب امام اطفال النت - الهكرز - المخترقون -

خطة العمل : تعديل برمجي
متطلبات العمل : معرفة بسيطة في البرمجة او التعديل + برنامج لتحرير ملفات php - موجودة في قسم البرمجة -
شعار العمل : التوكل على الله
مواد العمل : اقصد بها الملفات التي سيتم التعديل عليها هي : config.php و init.php

التعديل : في الاول احب ان انوه و اذكر اني لا اتحمل اي مسؤولية جراء هذا العمل بالرغم اني مجربه من قبل و ناجح بنسبة 100/100 و الحامي هو الله طبعا

نصيحة : اشدد و انصح باخذ نسخة احتياطية للمفات المذكورة . و ان يكون التعديل في المرحلة الاولية على منتدى تجريبي

نبدأ :

1 - افتح الملف init.php و ابحث عن التالي :

كود PHP:

$vbulletin->config['Database']['dbname'],

 $vbulletin->config['MasterServer']['servername'],

 $vbulletin->config['MasterServer']['port'],

 $vbulletin->config['MasterServer']['username'],

 $vbulletin->config['MasterServer']['password'],

راح نعدل السطر الاول و الرابع و الخامس فقط لانهم اهم شيئ في الموضوع

-- نعدل :

كود PHP:

config['Database']['dbname'],

الي

كود PHP:

 config['Database']['gulf'],

حيث كلمةgulf مكان dbname مع التنبيه الى انه يجب تذكر الكلمة الاصلية لكي يتم تغييرها فيما بعد في الملف config.php كذالك مع الملاحظة اني وضعتgulf كمثال و يمكن اختيار اي كلمة مكونة من حروف بدلها

و نعدل

كود PHP:

config['MasterServer']['username'],

الي

كود PHP:

 config['MasterServer']['drsmash'],

ينطبع عليه نفس الكلام السابق

و تعديل

كود PHP:

 config['MasterServer']['rtv'],

و نحفظ العمل

نتوجه للملف الثاني - config.php - افتحه مثل الاول بمحرر php

كما نبهت في الاول اننا يجب تذكر الكلمات الاصلية و ما تم تغييرها بها
و في مثالنا :

تم تغيير كل من :

dbname بي كلمة gulf
username بي كلمة drsmash
password بي كلمة rtv

يعني لب الفكرة تغيير الكلمات - المتغيرات - التالية dbname و username و password بكلمات اخرى غير معلومة في كلى الملفين مع مراعات تطابقها

و بهذا راح تقل نسبة الاختراق بنسبة عالية جدا جدا و لا ادعي 100/100 فالكمال لله وحده

- يجب اختيار كلمات معلومات قاعدة بيانات المنتدى او اي سكريبت آخر صعبة التخمين و لا تكون متشابهة - اسم القاعدة لا يكون نفسه اسم المستخدم و كلمة المرور - او له علاقة بمحتوى الموقع

2 - الابتعاد عن استعمال الترخيص 777 في اي منطقة من مناطق موقعك.
3 - التقليل من عدد الهاكات الغير لازمة
4 - التقليل من عدد الستيلات و تحري هويتها قبل اعتمادها و تركيبها
5 - تغيير اسم و مسار لوحة تحكم المدير العام للمتدى و حمايتها بجدار ناري
6 - تفحص موقعك بشكل دوري بحثا عن ملفات ضارة

منقول للافاااااادة

ولد السلطنة · 11-01-2008, 06:39 مساءً

بارك الله فيك

وجزاك الله كل خير اخي الفاضل

ADMIN · 11-02-2008, 01:13 صباحاً

الي قدر يقرا الكونفق يقدر يقرا الانت

غير صحيح هذا الامر

لاانصح بالعبث بالكونفق ابداً لان برامج كثيره واضافات تعتمد عليه

drsmash · 11-02-2008, 01:56 صباحاً

اقتباس:

الي قدر يقرا الكونفق يقدر يقرا الانت

غير صحيح هذا الامر

لاانصح بالعبث بالكونفق ابداً لان برامج كثيره واضافات تعتمد عليه

كلامك مظبوط أخي أدمن و لكن تعمل اية مع أطفال الهاكرز بيدخل بالشيل من السيرفر و يدور علي الكونفج و لو معاه شيل ( مش هرضي اقول اسمه) و معاه امتداد الكونفج هيحقن القاعدة و بسهولة بأضافة في الشيل اسمها vbhack و من غير تعب و عمره مهيدور علي ملف الانيت لسبب انه مش ملم بأمور الفي بي

و لكن الهاكر المحترف ما تنفع معاه الطريقة
الطريقة اللي تتنفع معاه حماية موقعك أنه يرفع علية شيل من الاساس و ده تم شرحه في المنتدي من قبل

ده مجرد فكرة للحماية ليس أكتر

مشكور أخي ادمن و مشكور اخي ولد السلطنة

11-01-2008, 06:39 مساءً	#2 (permalink)
ولد السلطنة اسرة ابن الخليج تاريخ التسجيل: Jan 2006 الدولة: S. of Oman المشاركات: 3,175 معدل تقييم المستوى: 22156	رد: حماية تغير متغيرات معلومات قاعدة البيانات في ال vb بارك الله فيك وجزاك الله كل خير اخي الفاضل من مواضيع ولد السلطنة في المنتدى شرح طريقة اضافة ملاحظة او تنبيه او اي كلام يخطر على بالك أحم منتداك يا مدير من المراقبين وقد أعذر من أنذر [style] أستايل W-enter:v2.0 مجاني والأفضل لمجلتك بواسطة ولد السلطنة إحصائيات مشكلة في المواضيع __________________ حمل جميع نسخ الجيل الرابع مع التعريب مباشرتا:- http://vb4.wsport.org/ حمل جميع نسخ الجيل الثالث مع التعريب مباشرتا:- http://vb3.wsport.org/ اضف موقعك في دليل دبليو سبورت الرياضي http://dir.wsport.or...org/index.html

11-02-2008, 01:13 صباحاً	#3 (permalink)
ADMIN .::+: Gulf Son :+::. تاريخ التسجيل: May 2005 الدولة: بلاد الخليج المشاركات: 53,991 معدل تقييم المستوى: 53	رد: حماية تغير متغيرات معلومات قاعدة البيانات في ال vb الي قدر يقرا الكونفق يقدر يقرا الانت غير صحيح هذا الامر لاانصح بالعبث بالكونفق ابداً لان برامج كثيره واضافات تعتمد عليه من مواضيع ADMIN في المنتدى جيفري لانج , عالم الرياضيات , من النصرانية إلى الإلحاد إلى الإسلام ألبوم ولا تهنوا RegistryFix 5.0 Adobe Audition 2.0 القوات الأمريكية تعدم عائلة كاملة بنساءها وأطفالها – تحذير للقارئ الصور مروعة __________________ يقول الامام مالك رحمه الله: إنما هؤلاء أقوام أرادوا القدح في النبي صلى الله عليه وسلم فلم يمكنهم ذلك، فقدحوا في أصحابه حتى يقال رجل سوء ولو كان رجلاً صالحاً لكان أصحابه صالحين. وقال أبو الوفا بن عقيل رحمه الله: انظر كيف اختار لمرضه بيت البنت، واختار لموضعه من الصلاة الأب، فما هذه الغفلة المستحوذة على قلوب الرافضة عن هذا الفضل والمنزلة التي لا تكاد تخفى عن البهيم فضلا عن الناطق. وحيد القرن، كسرنا قرنه، ودككنا حصنه، وهدمنا برجه، فخرج يتبختر بعتاده مزهواً بعدده ففللنا حدّه، وقتلنا جنده، وفرقنا صحبه، والفضل لله وحده ولئن أبيد أبناء دولة الإسلام عن بكرة أبيهم خيرٌ لهم من أن يحكمهم رافضيٌّ خبيث أو أن تستظلّ بغداد برايات الصفويين يوما واحداً.

أدوات الموضوع
عرض نسخة صالحة للطباعة أرسل هذا الموضوع إلى صديق
طرق مشاهدة الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
خطأ في قاعدة البيانات	فارس تويثيري	مشاكل وحلول الـ مواقع	6	01-20-2008 04:25 مساءً
مشكلة في تغير قاعدة البيانات	basrawi	مشاكل وحلول الـ مواقع	2	11-15-2007 06:45 مساءً
[شرح] طريقة تغير معلومات الاعضاء من افقي إلى عامودي في عرض المواضيع	رايق وفايق	هاكات وشروحات vBulletin 3.[6-5].X	7	10-18-2007 12:43 مساءً
ممكن طريقة تغير باسوورد قاعدة البيانات	السكب	مشاكل وحلول الـ مواقع	6	02-04-2007 06:54 مساءً
ممكن طريقة تغير باسوورد قاعدة البيانات	السكب	مشاكل وحلول الـ مواقع	2	02-04-2007 01:42 مساءً

حماية تغير متغيرات معلومات قاعدة البيانات في ال vb

منتديات شبكة ابن الخليج