دوره حمايه المنتدى من ترايدنت

اسعد الله اوقاتكم بالخير اعضاء وزوار معهدنا الكرام

لعل مشكلة الاختراقات التي تتعرض لها المواقع هي اكثر مايضايق اصحاب
المواقع لانهم يخشون على ضياع مجهودهم بسبب تهور من هكر صغير لايفقه شيئا
ولايقدر حجم التعب الذي يعانيه اصحاب المواقع .

لحل هذه المشكلة حلا جذريا سوف نقدم شرحاً كاملا لكل صغيرة وكبيرة حول
حماية المنتدى بعيدا عن السيرفر وبجهود بسيطة من صاحب المنتدى يجد انه قد
سد كامل الثغرات والمنافذ التى قد يستغلها ضعاف النفوس



لذلك سوف تكون دورتنا ان شاء الله شاملا لكل هذا وعلى شكل حلقات ودروس
منفصلة مدعومة بالشرح (النصى - الصور -الفيديو) ان شاء الله سيكون هناك كل
يوم درس جديد وسيتم اغلق الموضوع لحين الانتهاء من الدورة بالكامل وسيعاد
فتح الموضوع بعد الانتهاء للمناقشة من قبل الاعضاء

الدروس ::::


الدرس الاول :_ الحماية من الاسبام العربى والاجنبى
الدرس الثانى:- حماية ملف الكونفج وترقيع النسخة 3.8.7
الدرس الثالث :- حماية جداول القاعدة وقوالب الاستايل من التغليم
الدرس الرابع :_ حماية الملفات المنتدى الهامة
الدرس الخامس :_ ملحوظات ونصائح

[b][b]درس الثانى :- حماية جداول القاعدة وقوالب الاستايل من التغليم


الخطوة الاولى :-[/b] تغير مسميات جداول القاعدة
توضيح بسيط :- هاك الحماية i.s.s.w متعارض فى حال تغير مسميات الجداول بتاعت القاعدة ( يعنى ياتركب الهاك ياتغير المسميات الاتنين مع بعض Database error

[/b]

ارفع مجلد install داخل مجلد المنتدى
بعد رفع مجلد install داخل مجلد منتداك احذف ملف install.php ثم بعد
اطلب الرابط www.xxxx.com/vb/install/tableprefix.php

مع تغير xxx الى اسم موقعك

اتبع الصور : (1)
اضغط على متابعة



(2)
اكتب اسم البادئة ومن ثم انزل لآخر الصفحة واضغط على إعادة
تسمية الجداول







(3)

ومن ثم نضغط هنا على إعادة تسمية جداول SQL




(4)

لم يتبقى سوى التعديل على ملف config.php





الآن وبعد ان تم تغيير اسماء الجداول واضافة البادئة لها يتوجب عليك الذهاب لملف config.php




رمز PHP:




$config['Database']['tableprefix'] = '';






نضيف بين علامة التنصيص " اسم البادئة اللتي اضفناها ليصبح هكذا




رمز PHP:




$config['Database']['tableprefix'] = 'traidnt';






اذا لم يتم التعديل على الملف واضافة البادئة اللتي اخترناها سيظهر لنا هذا الخطأ في المنتدى




رمز PHP:




Invalid SQL:


SELECT *

FROM datastore

WHERE title IN ('','options','bitfields','attachmentcache','forumcache','usergroupcache','stylecache','languagecache','products','pluginlist','cron','profilefield','loadcache','noticecache','userstats','birthdaycache','maxloggedin','iconcache','eventcache','mailqueue');


MySQL Error : Table 'traidnt.datastore' doesn't exist

Error Number : 1146








[b][b]الخطوة الثانية :-[/b] [/b]حماية قوالب الاستايل من التغليم

ترقيع ثغرة $spacer_open
$spacer_close

النقطة الاولى :_ ترقيع ثغرة $spacer_open

اذهب الى مجلد vb وافتح ملف global.php بمحرر النصوص ثم ابحث عن




رمز PHP:




eval('$spacer_open = "' . fetch_template('spacer_open') . '";');






معنى الكود انه المتغير $spacer_open يقوم بإستدعاء القالب spacer_open

سوف نقوم بتغيير اسم القالب الى اي اسم نريده وليكن مثلا Error

ليصبح الكود كالتالى




رمز PHP:




eval('$spacer_open = "' . fetch_template('Error') . '";');







بذلك اصبح المتغير $spacer_open يقوم بإستدعاء القالب Error والقالب spacer_open ليس له اي فائدة ,,,

لم يتبقى الا شئ بسيط جدا
لوحة التحكم <<<<الاستايلات والقوالب<<<< التحكم فى الاستايلات<<< ثم نقوم بإضافة قالب جديد باسم Error(طبعا يجب ان يكون اسم القالب متوافق مع الاسم اللى وضعته في ملف global.php )

ثم تقوم بوضع الكود التالي في القالب





رمز PHP:






condition="$show['old_explorer']">

<table cellpadding="0" cellspacing="0" border="0" width="$stylevar[outertablewidth]" align="center"><tr><td class="page" style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px">



<div align="center">

<div class="page" style="width:$stylevar[outerdivwidth]; text-align:$stylevar[left]">

<div style="padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px" align="$stylevar[left]">








ثم حفظ وسلامتك

النقطة الثانية :_ ترقيع ثغرة $spacer_closeتغير [b]$spacer_close نفس طريقة تغير $spacer_open
اذهب الى مجلد vb وافتح ملف global.php بمحرر النصوص ثم ابحث عن

[/b]


رمز PHP:




eval('$spacer_close = "' . fetch_template('spacer_close') . '";');






[b]سوف نقوم بتغيير اسم القالب الى اي اسم نريده وليكن مثلا [/b]
AbuAyman

سوف نقوم بتغيير اسم القالب الى اي اسم نريده وليكن مثلا Error

ليصبح الكود كالتالى




رمز PHP:




eval('$spacer_close = "' . fetch_template('AbuAyman') . '";');






[b]
[/b]بذلك اصبح المتغير $spacer_close يقوم بإستدعاء القالب Error والقالب spacer_close ليس له اي فائدة ,,,


لم يتبقى الا شئ بسيط جدا
لوحة التحكم <<<<الاستايلات والقوالب<<<< التحكم فى الاستايلات<<< ثم نقوم بإضافة قالب جديد باسم AbuAyman(طبعا يجب ان يكون اسم القالب متوافق مع الاسم اللى وضعته في ملف global.php )


[b] ثم تقوم بوضع الكود التالي في القالب
[/b]


رمز PHP:




condition="$show['old_explorer']">

td>tr>table>



div>

div>

div>













ثم حفظ وسلامتك








[b]الخطوة الثالثة :- (الكلمات الممنوعة) تم وضعها بالمرفقات
[/b] ما فائدة هذه الخاصية ؟

هذ الخاصية تستخدم لمنع الكلمات الغير مرغوب بكتابتها في المواضيع والمشاركات في المنتدي.

تفعيل الرقابـــــة

قد يكون لديك بعض الكلمات تريد منعها في المنتدى. الكلمات التي تختارها
ليتم منعها سوف تستبدل بالرمز المحدد في الأسفل. كافة العناوين في الرسائل
والمواضيع ومضمون المواضيع ستكون متأثرة بهذا.

الرمز لاستبدال الكلمات الممنوعة

هذا الرمز (أو الرموز) ستستخدم لاستبدال الكلمات الممنوعة. كمثال, إذا منعت
الكلمة 'dog' ووضعت البديل رمز النجمة (*) أي نص يحتوي على المقطع 'dog'
في الرسائل سيظهر على شكل '***'.

الكلمات الممنوعة

اكتب كافة الكلمات التي تريد منعها في الحقل أدناه. لا تستخدم الفواصل لفصل
الكلمات, فقط استخدم المسافات. كمثال, أكتب "dog cat boy", بدلاً عن
"dog, cat, boy."

إذا كتبت "dog", كافة الكلمات المحتوية على المقطع "dog" ستمنع (dogma, على
سبيل المثال, ستظهر كهذه "***ma"). للمراقبة الدقيقة, يمكنك تطلب أن يتم
الحظر لكلمات محددة. يمكنك عمل هذا بوضع الكلمة الممنوعة بين الحاصرتين
المجعدتين, كما في {dog}. تعني "dog" باستخدام الأقواس المجعدة فإن الكلمة
dogma ستظهر كهذه dogma, لكن dog ستظهر كهذه "***". وبهذا فقد تظهر قائمة
الكلمات الممنوعة هكذا: cat {dog} {barn} barn

لا تستخدم علامات الاستفهام و تأكد بأنك تستخدم الأقواس المجعدة, وليس علامات الحصر, عند تحديد كلمة محددة.

سوف تحتاج إلى أعادة بناء ذاكرة المشاركة الوسيطة بعد عمل التغييرات لتحديث المشاركات الحالية.

الأحرف المتعربة الفارغة

إن كنت ترغب منع الأعضاء من إستعمال بعض الرموز في مشاركاتهم, أسمائهم,
والمزيد. هذه الرموز عادة تستعمل فقط لجعل الكلمات تظهر بنفس الشكل بالنسبة
للمنظور البشري لكنها مختلفة بالنسبة للحاسوب. لمنع إستخدام هذه الرموز,
ادخل شفرة (أعداد) هذه الرموز هنا, افصلها بالمسافات. يمكنك بدء شفرة
الرمز بإستخدام الحرف "u" للدلالة على قيمته في نظام الحروف الدولية
الموحده؛ أنقر على أيقونة "؟" في جهة الشمال لمزيد من المعلومات.

رجاء لاحظ بأن إزالة أحرف ASCII الخامة باستخدام هذا الإعداد قد يكسر
مفردات اللغات الثنائية البايت. إذا لم تكن متأكداً, أزل محتويات هذا
الإعداد.

وهذا كان شرح مبسط عن طريقة عمل خواص إعدادات اللغة - الستايل الخاص بك ... ارجو ان اكون وفقت فيه

[b]

طريقة التركيب

اذهب الى خيارات المنتدى ثم الى خيارات الرقابة ثم إضغط على تعديل الإعدادات

تفعيل الرقابة: إختار نعم

الكلمات الممنوعة : ضع الكلمات الممنوعة المرفقة فى هذا المربع ثم اضغط حفظ وسلامتك .






[/b][b]الخطوة الرابعة :- (الغاء تفعيل اكواد Html)

لوحة التحكم<<< خيارات المنتدى<<<[/b]إعدادات أكواد المنتدى (BB Code)


[b]

[/b]

شرح الدرس االثانى فيديو





والسلام ختام،،،،

انتظرونى فى الدرس القادم ،،،،،

الكلمات الممنوعة



الدرس الثالث:- حماية ملف الكونفج وترقيع النسخة 3.8.7


تعريف الأختراق

الاختراق بشكل عام هو القدرة على الوصول لهدف
معين بطريقة غير مشروعة عن طريق ثغرات في نظام الحماية الخاص بالهدف
وبطبيعة الحال هي سمة سيئة يتسم بها المخترق لقدرته على اختراق مواقع
الأخرين عنوه ودون رغبة منهم وحتى دون علم منهم بغض النظر عن الأضرار
الجسيمة التي قد يحدثها سواء بموقعهم الشخصية او بنفسياتهم عند سحبة ملفات
وصور تخصهم وحدهم . ما الفرق هنا بين المخترق للمواقع الشخصية والمقتحم
للبيوت المطمئنة الآمنه ؟؟ أرائيتم دناءة الأختراق وحقارته.


ملحوظة
:- موضوع الحماية هذا واى موضوع فى اى مكان لايعبر عن حماية الموقع
بنسبة 100% لان حماية سيرفر المستضيف تمثل 80% من حماية الموقع فالاتعتمد
كل الاعتماد على موضيع الحماية واختار المستضيف الجيد فى البداية

الخطوة الاولى :_ حماية المتغيرات الحساسة فى ملف الكونفج




رمز PHP:




dbname servername username password

الملفات المطلوبه فقط ملفين داخل مجلد
( includes )
init.php
config.php

نبداء الشرح :
##########
نقوم بفتح ملف config.php
ونبحث عن




رمز PHP:




$config['Database']['dbname']






سوف نقوم بتغيير dbname الى اي اسم نريده وليكن مثلا ahmed
ليصبح الكود كالتالى




رمز PHP:




$config['Database']['ahmed']








فى نفس الملف نبحث عن ...




رمز PHP:




$config['MasterServer']['servername']






سوف نقوم بتغيير servername الى اي اسم نريده وليكن مثلا hassan
ليصبح الكود كالتالى




رمز PHP:




$config['MasterServer']['hassan']








فى نفس الملف نبحث عن ...




رمز PHP:




$config['MasterServer']['username']






سوف نقوم بتغيير username الى اي اسم نريده وليكن مثلا ali
ليصبح الكود كالتالى




رمز PHP:




$config['MasterServer']['ali']








فى نفس الملف نبحث عن ...

رمز PHP:




$config['MasterServer']['password']

سوف نقوم بتغيير password الى اي اسم نريده وليكن مثلا abdo
ليصبح الكود كالتالى

[right]


رمز PHP:




$config['MasterServer']['abdo']

[/right]

تم الإنتهاء من ملف config.php

نقوم الأن بفتح ملف init.php ونسوي التغييرات اللي سويناها في ملف الكونفج

نقوم بفتح ملف init.php
ونبحث عن

رمز PHP:




$vbulletin->config['Database']['dbname'],

سوف نقوم بتغيير dbname الى ahmed

ليصبح الكود كالتالى




رمز PHP:




$vbulletin->config['Database']['ahmed'],








فى نفس الملف نبحث عن ...




رمز PHP:




$vbulletin->config['MasterServer']['servername'],






سوف نقوم بتغيير servername الى hassan

ليصبح الكود كالتالى




رمز PHP:




$vbulletin->config['MasterServer']['hassan'],








فى نفس الملف نبحث عن ...




رمز PHP:




$vbulletin->config['MasterServer']['username'],







سوف نقوم بتغيير username الى ali

ليصبح الكود كالتالى





رمز PHP:




$vbulletin->config['MasterServer']['ali'],








فى نفس الملف نبحث عن ...




رمز PHP:




$vbulletin->config['MasterServer']['password'],







سوف نقوم بتغيير password الى abdo

ليصبح الكود كالتالى

فى نفس الملف نبحث عن ...





رمز PHP:




$vbulletin->config['MasterServer']['abdo'],







ملحوظة هامة:_لايجب تغير المتغيرات الحساسة عند تركيب المنتدى أول مرة ويتم تغيرها بعد التركيب




[b][b][b] الخطوة الثانية :-[/b] [/b] ترقيع ثغرة Yahoo YUI للنسخ ا ل م ن ز و ع ة


1- افتح ملف class_core.php اللي هوا داخل مجلد includes

وابحث عن :[/b]




رمز PHP:




define('YUI_VERSION', '2.7.0');






واستبدله بـ




رمز PHP:




define('YUI_VERSION', '2.9.0');






المرخصين الشركة اصدرت الترقيع يمكنك تحميل الترقيع من ملفك الشخصى ...

والسلام ختام،،،،

انتظرونى فى الدرس القادم ،،،،،


الدرس الرابع :_ حماية الملفات المنتدى الهامة
الخطوة الاولة :-تغير مسار الملفات والمجلدات المهمة

[b] اولاً ندخل FTP نروح على مجلد المنتدى
vb
ثم
includes
ثم
config
نبحث عن

[/b]


رمز PHP:




$config['Misc']['admincpdir'] = 'admincp';






هانغير admincp الى admincptr أو يمكنك تغيرها الى اى اسم تريد لتصبح هكذا




رمز PHP:




$config['Misc']['admincpdir'] = 'admincptr';






تحتيها مباشرا ها تلاقى




رمز PHP:




$config['Misc']['modcpdir'] = 'modcp';






هانغير modcp الى modcpnet أو يمكنك تغيرها الى اى اسم تريد لتصبح هكذا




رمز PHP:




$config['Misc']['modcpdir'] = 'modcpnet';










[center]بكدة انتهينا من الخطوة الاولة

الخطوة الثانية :-طريقة عمل الجدار على الملفات المهمة

ها نسوى جدار نارى على الملفات المهمة وهى
admincpcopy
modcpcopy
includes

اذهب الى لوحة تحكم موقعك Cpanel عن طريق هذا الرابط

http://www.xxxx.com/cpanel

او

http://www.xxxxx.com:2082

مع تغير الـxxxxx الى اسم موقعـك ..

User name: ادخل اسم المستخدم للوحة تحكم موقعك

Password: ادخل الرقم السري للوحة تحكم موقعك

ثم إضغط OK

اذهب الى Password Protect Directories





اضغط على ايقونة ملف منتداك الرئيسي وغالبا مايكون vb اضغط على الفلدر وليس كلمة vb



اضغط على اسم ملف لوحة تحكم منتداك وغالبا مايكون فى حالة لو عملت درس تغير مسمى المجلدات admincptr لو مش عملته ها يكون اسم المجلد admincp وهذا الافتراضى



ضع علامة صح في المربع والمربع التالى اكتب stop

ثم إضغط save كما في الصورة التالية



ثم إضغط Go Back



ثم تابع بالصورة التاليـة

User Name: ضع إسم المستخدم للجدار الناري

Password: ضع الرقم السري للجدار الناري

Password (Again):كرر الرقم السري

ثم إضغط على Add/modify authorized user





اذا ظهرت لك هذه الرسالة
User Modified The user
now has the password
اسم مستخدم الجدار الناري
الرقم السري للجدار الناري .

فا انهو قد تم تركيب الجدار الناري للملف كرر هذه الخطوة على كل مجلد من المجلدات التى تم ذكرها اعلاه .

اغلق الشل وسلامتك

كدة انتهينا من الخطوة الاولة

النقطة الثانية :_ تصاريح مجلد .htpasswds

ها نروح على FTP نسجل دخول نروح على مجلد .htpasswds ونعطيه تصاريح 111 المجلد موجود خارج مجلد WWW




تاكد من المجلد انه
اخد تصاريح 111 يعنى سوى التصاريح وبعدها سوى تحديث لو التصاريح ظلت كما هى
111 يبقى تمام لو رجعت 755 او 750 كما كانت يبقى مش ها تقدر تعطى المجلد
تصاريح 111 فاما تتعبش نفسك بلغ المستضيف يعمل التصاريح للمجد من الشل وده
الامر علشان لو حد معاه سيرفر ومش عارف ازاى الامر

سجل دخول الشل ثم




رمز PHP:




cd /home/xxx/






بدل xxx باليوزر نيم بتاع السى بنل بتاعتك

ثم





رمز PHP:




chmod 111 .htpasswds






رمز PHP:

رمز PHP:




chmod 111 .htpasswds

بكدة انتهينا من النقطة الثانية ومن الدرس الرابع

والسلام ختام،،،،

انتظرونى فى الدرس القادم ،،،،،

[/center]