حماية منتداك 100% من الهكر مهما كاان

^{حماية منتداك 100% من الهكر مهما كاان

--------------------------------------------------------------------------------

بسم الله الرحمن الرحيم
كيفكم يا اعضاء وزوار منتدى المجدج الكرام
ان شاء الله كلكم بخير دايما
===================
نخش فى الموضوع
اليوم صباحا جلست اتابع اخبار الحمايات للمنتديات كالعادة اشوف اية الجديد
وجد كل شى مثل ما هو ومع ذالك ما زال هناك اخترقات كثيرة للمنتديات
ولكن وجد موضوع فعلا يوكد حماية المنتدى ضد اى اختراق
قولت انقلة لكم حتى يستفيد الجميع
بداية :
طريقة حماية منتديات Vbulletin
.................................................. ..........................

الخطوات الأساسيه :

1- إعطاء تصريح 711 للمجلدات التاليه :
vb - modcp - admincp - archive - includes
+ المجلد اللذي يحتوي على الكونفق إن لم يكن includes
+مجلد .htpasswds الموجود هنا /home/user

2- تغيير اسماء المجلدات : admincp و modcp و includes
ثم : تغيير اسماء admincp و modcp من خيارات config.php

وثم : استبدال الاسماء القديمه بالجديده في جميع ملفات المنتدى عبر إستخدام برنامج :
PHP Expert Editor

3- تغيير prefix الكوكيز من config.php من bb إلى اي شيء آخر

4- جدار حماية على admincp - modcp - includes - archive

5- حذف مجلد install و حذف اي ملف مضغوط للمنتدى او باك اب موجود على ال public

6- حظر الكلمات الممنوعه

7- التعديل على ملف config.php ويشمل التالي :

تغيير مصفوفاته ومتغيراته التاليه :
config
MasterServer
SlaveServer

تغيير مسار الكونفيق وأسمه وأمتداده :

ويفضل وضعه في مكان خارج الببلك مثل
/home/user/sec/config.php

واسمه إلى اي اسم اخر مثل log.htm وغيرها

وتعديل مسار الكونفق من القديم للجديد في ملف class_core.php

8- تشفير التعديلات بإستخدام آخر إصدار للزند

9- تغيير اسماء الملفات التاليه : init.php - class_core.php - global.php
مع تعديل ملفات المنتدى واستبدال القديم بالجديد بالبرنامج المذكور اعلاااه

.................................................. ..............................
الخطوات الإختياريه :

1- جعل قاعدة البيانات على سيرفر آخر .. ثم من السي بانل -- MySQL Databases
تحت host تكتب آي بي السيرفر اللي تبيه يتصل على القاعده

وبعدين تعدل localhost في ملف الـ config.php :

$config['MasterServer']['servername'] = 'localhost';

إلى آي بي السيرفر الموجود عليه قاعدة البيانات

2- بعد تغيير اسم class_core.php .. نكتب ملف جديد باسم : class_core.php
ونجعله يستخدم ملف config.php .. وننشئ مجلد جديد config.php
فيه معلومات خطأ .. وبكذا بتلعب على اللي بيقدر يوصل للكونفق

3- استبدال showgroups.php - memberlist.php - online.php - calendar.php بالـ index.php

4- مسح رقم إصدار المنتدى من الأسفل

5- إغلاق الارشيف ( ثغرة قديمه وترقعت .. لكن الاحتياط للبرايفت وللمستقبل )

6- إضافة يوزر جديد وليكن رقمه 8654 .. ثم إستبدال رقم 1 في ال config.php
بهذا الرقم .. وإضافتهم لقائمة الإداريين .. علشان لو واحد بحث عن userid = 1
وقدر يوصله باي طريقة .. مايقدر يدخل فيها admincp

7- إغلاق قائمة الأعضاء .. إن لم تستبدل بالاندكس

8- إعادة كتابة الأرقام بالصورة عند التسجيل .. لمنع الفلود

9- حذف الكود التالي :
كود PHP:
<tr>

<td class="vbmenu_option">

<img class="inlineimg" src="$stylevar[imgdir_button]/sendtofriend.gif" alt="$vbphrase[email_this_page]" />

<a href="sendmessage.php?$session[sessionurl]do=sendtofriend&t=$threadid" rel="nofollow">$vbphrase[email_this_page]</a></td>

</tr>

من تمبلت : SHOWTHREAD

10- تغيير كلمات السر إن كانت سهله لكلاً من : قواعد البيانات , اليوزرات المسموحه لدخول admincp

11- التأكد من تعطيل html في جميع الأقسام وفي كل مكان كالتوقيع والرسائل والملاحظات وغيرها وإستخدام bbcode

12- عمل باك اب احتياطي يومي .. بواسطة هاك VB Datastore Backup

13- بالنسبة للهاكات وحمايتها .. تم تعطيل اكواد التحويل بواسطة الهاكات اللتي سيتم ذكرها
بالنسبة للصندوق الماسي .. يفضل حذفه .. واستبداله بالصندوق السحري
وبالنسبة لـهاك الإهداءات .. إضافة الكود التالي في بداية ملف ehdaa.php :

كود PHP:
<?$MyCensorArray=array("#","'",'"',"<",">","$","=" );$MyArray_String_Keys=array_keys($_REQUEST);for ($MyLoopInteger=0;$MyLoopInteger<=count($_REQUEST)-1;$MyLoopInteger++){for ($MyLoopInteger2=0;$MyLoopInteger2<=count($MyCenso rArray)-1;$MyLoopInteger2++){$_REQUEST[$MyArray_String_Keys[$MyLoopInteger]]= str_replace($MyCensorArray[$MyLoopInteger2],"&#" . ord($MyCensorArray[$MyLoopInteger2]) . ";",$_REQUEST[$MyArray_String_Keys[$MyLoopInteger]]);}}$MyArray_String_Keys=array_keys($_POST);for ($MyLoopInteger=0;$MyLoopInteger<=count($_POST)-1;$MyLoopInteger++){for ($MyLoopInteger2=0;$MyLoopInteger2<=count($MyCenso rArray)-1;$MyLoopInteger2++){$_POST[$MyArray_String_Keys[$MyLoopInteger]]= str_replace($MyCensorArray[$MyLoopInteger2],"&#" . ord($MyCensorArray[$MyLoopInteger2]) . ";",$_POST[$MyArray_String_Keys[$MyLoopInteger]]);}}$MyArray_String_Keys=array_keys($_GET);for ($MyLoopInteger=0;$MyLoopInteger<=count($_GET)-1;$MyLoopInteger++){for ($MyLoopInteger2=0;$MyLoopInteger2<=count($MyCenso rArray)-1;$MyLoopInteger2++){$_GET[$MyArray_String_Keys[$MyLoopInteger]]= str_replace($MyCensorArray[$MyLoopInteger2],"&#" . ord($MyCensorArray[$MyLoopInteger2]) . ";",$_GET[$MyArray_String_Keys[$MyLoopInteger]]);}}if ($_REQUEST['do'] == "save"){$MyRefContains="$_SERVER[HTTP_REFERER]";if (!isset($_SERVER['HTTP_REFERER']) || strpos($_SERVER['HTTP_REFERER'],$MyRefContains)===false) {echo "<B>Sorry</B>";exit;}}?>

14- ولترقيع ثغرة Forumhome :

كود PHP:
$newpost['title'] =& $vbulletin->GPC['subject'];

بـ

كود PHP:
$newpost['title'] =& $vbulletin->GPC['subject'];

if (preg_match('/<|>/',$newpost['title'])) {

$newpost['title'] = str_replace(array("<", ">"), array("(", ")"), $newpost['title']);

}

في

newthread.php

15- ولترقيع ملف faq.php :

اضف

كود PHP:
$navbits[''] =$vbphrase['faq'];

تحت :
كود PHP:
// initialize some template bits

$faqbits = '';

$faqlinks = '';

=======================
انتهى
سلام عليكم}

يسلمووو على جهودك الطيب
ربنا مايحرمنا منك
يعطيك الف عافيه وشكرا وبارك الله فيك

يثلمو اخى الفتى الذهبى على المرور وعالمجهود
تقبل فائق احترامى

Admin عدد الرسائل : 117 تاريخ التسجيل : 31/03/2008

يسلمووو اخوي سلطان الحب على المشاركه الروعه
ربنا مايحرمنا منك
يعطيك الف عافيه وشكرا وبارك الله فيك


مشكور اخى الغالى دموع الشوق على المرور الذى اسعدنى كثيرا تقبل فائق احترامى لمجهودك الوافى