VIP
05-02-2005, 08:55 AM
مهم طريقة حماية وإغلاق ثغرات منتداك النسخة (vb2/vb3)
بسم الله الرحمن الرحيم
الموضوع اليوم راح يتكلم عن طريقة حماية منتداك سواءً
بعد تحديث إصدار منتداك أو حتى بعد تركيب منتدى جديد
وراح أشرح فيه أفضل طريقة لحماية منتداك
وراح أشرح أيضاً طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3
قبل كل شيء نصيحة على الجميع التحديث للإصدار الأخير vBulletin Version 3.0.3
أولاً الحماية :
بعد ماتركب منتدى جديد أو تحدث إصدار منتداك
تعمل الأتي :
تحذف مجلد install
تضع حماية على المجلدات التالية :-
admincp
modcp
includes
وحماية المجلدات تتم عن طريقتين :
الأولى : عن طريق لوحة تحكم موقعك وهي معروفة للجميع
الثانية : عن طريق رفع ملف مخصص لإضافة حماية على أي مجلد تريد
وراح أشرح الأن حماية المجلدات عن طريق الملف :
أولاً حمل الملف التالي 00
حمل المرفق
وضعه في مجلد admincp
وأعط الملف save.php الترخيص 755
وأعط مجلد admincp الترخيص 777
إذهب إلى المتصفح وضع فيه الرابط هذا
www.xxxxxx.com/vb/admincp/save.php
حيث(xxx) أسم موقعك
وsave.php إسم الملف
وإضغط إنتقال أو إنتر راح يطلب منك إسم مستخدم وكلمة مرور
أكتب المطلوب وبعدها إضغط على كلمة إحم المجلد
وأخيراً إحذف المجلد save.php
وبكذا تكون حميت مجلد admincp
وهكذا تعمل بباقي المجلدات :
modcp
www.xxxx.com/vb/modcp/save.php
includes
www.xxxx.com/vb/includes/save.php
والأن خلصنا من شرح طريقة حماية المنتدى والطريقه هذي تستطيع عملها على جميع إصدارات vBulletin
واللذي سيختلف في النسخة vb2 هو إضافة الحماية على المجلدات التالية فقط :
admin
mod
ثانياً : طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3
ثغرة في ملف editpost.php
إفتح الملف وفي أوله بعد <?php
أضف الكود التالي
$title = addslashes($title);
if (strstr($title,"script") != NULL){
echo "hello.. are you hacking us?<br>vBulletin<br>note: use scr!pt";
exit;
}
ثغرة في ملف subscriptions/authorize.php
وطريقة إغلاقها
تبحث في الملف authorize.php عن الكود هذا
$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " . $item_number[1]);
وتحذفه وتضع بداله الكود هذا
$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " .
TABLE_PREFIX . "user WHERE userid = " .intval( $item_number[1]));
ولاننسى الدالة المزروعة في هاك أخر عشر مواضيع
وطريقة التخلص منها :
قم بفتح الملف الخاص بشريط أخر عشر مواضيع وابحث عن الدالة $fsel واحذفها
وأيضاً إغلاق التقويم وقائمة الأعضاء
أنتهى الشرح والحمد الله.
بسم الله الرحمن الرحيم
الموضوع اليوم راح يتكلم عن طريقة حماية منتداك سواءً
بعد تحديث إصدار منتداك أو حتى بعد تركيب منتدى جديد
وراح أشرح فيه أفضل طريقة لحماية منتداك
وراح أشرح أيضاً طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3
قبل كل شيء نصيحة على الجميع التحديث للإصدار الأخير vBulletin Version 3.0.3
أولاً الحماية :
بعد ماتركب منتدى جديد أو تحدث إصدار منتداك
تعمل الأتي :
تحذف مجلد install
تضع حماية على المجلدات التالية :-
admincp
modcp
includes
وحماية المجلدات تتم عن طريقتين :
الأولى : عن طريق لوحة تحكم موقعك وهي معروفة للجميع
الثانية : عن طريق رفع ملف مخصص لإضافة حماية على أي مجلد تريد
وراح أشرح الأن حماية المجلدات عن طريق الملف :
أولاً حمل الملف التالي 00
حمل المرفق
وضعه في مجلد admincp
وأعط الملف save.php الترخيص 755
وأعط مجلد admincp الترخيص 777
إذهب إلى المتصفح وضع فيه الرابط هذا
www.xxxxxx.com/vb/admincp/save.php
حيث(xxx) أسم موقعك
وsave.php إسم الملف
وإضغط إنتقال أو إنتر راح يطلب منك إسم مستخدم وكلمة مرور
أكتب المطلوب وبعدها إضغط على كلمة إحم المجلد
وأخيراً إحذف المجلد save.php
وبكذا تكون حميت مجلد admincp
وهكذا تعمل بباقي المجلدات :
modcp
www.xxxx.com/vb/modcp/save.php
includes
www.xxxx.com/vb/includes/save.php
والأن خلصنا من شرح طريقة حماية المنتدى والطريقه هذي تستطيع عملها على جميع إصدارات vBulletin
واللذي سيختلف في النسخة vb2 هو إضافة الحماية على المجلدات التالية فقط :
admin
mod
ثانياً : طريقة إغلاق أخطر ثغرتين للنسخة الجديدة vb3
ثغرة في ملف editpost.php
إفتح الملف وفي أوله بعد <?php
أضف الكود التالي
$title = addslashes($title);
if (strstr($title,"script") != NULL){
echo "hello.. are you hacking us?<br>vBulletin<br>note: use scr!pt";
exit;
}
ثغرة في ملف subscriptions/authorize.php
وطريقة إغلاقها
تبحث في الملف authorize.php عن الكود هذا
$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " . TABLE_PREFIX . "user WHERE userid = " . $item_number[1]);
وتحذفه وتضع بداله الكود هذا
$userid = $DB_site->query_first("SELECT userid, languageid, styleid FROM " .
TABLE_PREFIX . "user WHERE userid = " .intval( $item_number[1]));
ولاننسى الدالة المزروعة في هاك أخر عشر مواضيع
وطريقة التخلص منها :
قم بفتح الملف الخاص بشريط أخر عشر مواضيع وابحث عن الدالة $fsel واحذفها
وأيضاً إغلاق التقويم وقائمة الأعضاء
أنتهى الشرح والحمد الله.