نسيت كلمة المرور ؟

Knowledgebase

استرجاع منتداك من الاختراق بطريقة الحقن وكشف التلغيم تلغيم القوالب

السلام عليكم ورحمة الله وبركاته في البداية ترددت كثيرا في طرح الموضوع لانه تكرر كثيرا ولكن بصور غير مفهومة وعدم شمولية مايميز شرحي الاتي هو ما بعد الاختراق واسترجاع المنتدى الجزء المهم وهو كيف يعود المخترق لاختراق المنتدى مرة اخرى ولكن ايظا سااقوم بشرح كيفية اعادة المنتدى وازالة الاختراق ومن ثم كيفية كشف التلغيم وازالته هذا الشرح من اعدادي برجاء عند النقل ذكر المصدر نبداء بسم الله الرحمن الرحيم اولا وقبل كل شي لنفرض ان المنتدى مخترق اول عمل نقوم به هو الدخول الى لوحة تحكم الموقع السي بانل من خلال الرابط التالي www.website.com:2082 نقوم بالدخول الى مدير الملفات كما في الصورة التالية نقوم بتغير اسم مجلد المنتدى الى اي اسم اخر كمثال الى vbold نقوم بنفس الوقت برفع نسخة منتدى جديدة ونظيفة نقوم بتسميتها كمثال newvb ملاحضة الاسماء اعلاه غير ملزمة لاحد وضعت كمثال فقط لاغير شاهد الصورة لكيفية تغير اسم المجلد الان توجد خطوة اعتبرها مهمة جدا وهو ان المخترق على الاغلب قام بكشف معلومات قاعدة البيانات وعلى اساسها اخترق المنتدى لذالك يجب تغير معلومات القاعدة لن نقوم بتغير القاعدة كلها لان الموضوع صعب شوية على الاكثيرة وهو كيفية سحب القاعدة واعادة زرعها بقاعدة جديدة لذالك سنقوم فقط بتغير اليوزر والباسورد للقاعدة وهذا يؤدي الغرض ايظا نقوم بالدخول الى قواعد البيانات كما في الصورة التالية كي نقوم بحذف المستخدم القديم للقاعدة كما في الصورة التالية بعد الحذف نقوم باانشاء مستخدم جديد مع كلمة مرور جديدة يفضل انشاء كلمة المرور من خلال مولد كلمات المرور كي تكون صعبة التوقع كما في الصورة التالية نقوم بااضافة مستخدم جديد مع كلمة مرور جديدة ونقوم بااضافة المستخدم الجديد الى القاعدة القديمة واعطائه كافة الصلاحيات كما في الصورة التالية الان نعود الى النسخة الجديدة التي قمنا برفعها الى الموقع newvb ندخل ونعدل ملف الكونفكريشن الكونفك يعني includes/config.php كي نقوم بااضافة معلومات القاعدة واليوزر الجديد وكلمة المرور نقوم بالدخول الى الرابط التالي كي نقوم بتحديث قاعدة البيانات في حال رفعت نسخة احدث من نسختك او انك رفعت نفس الاصدار تبعك مافي مشكلة في الترقية نهائيا www.website.com/newvb/install/upgrade.php حيث ان website هو دومين موقعك و newvb هو اسم مجلد المنتدى النسخة الجديدة نتابع خطوات الترقية بعدها نقوم بحذف مجلد التنصيب لاسباب امنية ينصح الكل بها نقوم بالدخول الى المنتدى الى رئيسية المنتدى لغرض التأكد من عمل المنتدى اذا كان الاختراق لازال موجود معناه ان المخترق قام بحقن جدول قالب الفورم هوم من قاعدة البيانات لاتخف الموضوع سهل جدا نعود الى لوحة تحكم الموقع السي بانل ونقوم بالدخول الى phpmyadmin كما في الصورة التالية لغرض الدخول الى قاعدة بيانات المنتدى وازالة الاختراق نختار قاعدة بيانات المنتدى بالضغط عليها كما في الصورة التالية لغرض الدخول اليها نضغط الان على علامة sql لغرض زرع امر تحديث جدول القوالب ستفتح لنا مربع حوار صغير نضع بداخله الكود التالي : كود PHP: UPDATE `template` SET `template` = '<!-- open content container --> ".(($show[''old_explorer'']) ? (" <table cellpadding=\\"0\\" cellspacing=\\"0\\" border=\\"0\\" width=\\"$stylevar[outertablewidth]\\" align=\\"center\\"><tr><td class=\\"page\\" style=\\"padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px\\"> ") : (" <div align=\\"center\\"> <div class=\\"page\\" style=\\"width:$stylevar[outerdivwidth]; text-align:$stylevar[left]\\"> <div style=\\"padding:0px $stylevar[spacersize]px 0px $stylevar[spacersize]px\\"> "))."' WHERE `template`.`title` ='spacer_open' ; نضغط تنفيذ كما في الصورة التالية لاتغلق الصفحة لحين اكتمال تحميلها الان نعود للدخول الى الصفحة الرئيسية للمنتدى ستشاهد ان الاختراق زال ان شاء الله وان بقى فهذا بحث اخر سنتطرق اليه بعد قليل الان كشف تلغيم بعض القوالب بعض الهكر يتصور نفسه ذكي شوية يخترق يحقن قالب الفورم هوم كما ان اغلب اصحاب المواقع يعرفون الكود الذي زرعناه في القاعدة لازالة الاختراق وفي نفس الوقت ان الهكر نفسه يعرف الحركات هذي طيب غيرنا ملفات النسخة وصاحب الموقع قام بحركة شطارة قوية بتغير امتدادات وجدران نارية والخ وراسل المستضيف والمستضيف يؤكد ان السيرفر محمي طيب لكن الهكر رجع واخترق المنتدى مرى اخرى ومرتين وثلاث وفي كل مرة يقوم بالاختراق حسب مزاجه وفي الحقيقة ان الهكر اصبح يملك شيل داخل منتداك تنقله معك اينما ذهبت وحتى لو نقلت الاستضافة الف مرة عن طريق حقن الجداول التالية في قاعدة البيانات وتحويلها الى شيلات اي انهم يقومون بحقن قالب الجدول بكود الشيل نفسه faq calendar او مثلا search حسب الهكر طيب الحل انك تفحص يدوي بنفسك وتتاكد من الكلام هذا ادخل الروابط التالية مع استبدال دومين موقعك للتأكد website.com/vb/faq.php website.com/vb/calendar.php website.com/vb/search.php او website.com/vb/online.php او website.com/vb/profile.php افحصها جميعا اذا كانت تعمل طبيعي خير على خير واذا كانت ملغمة سيعمل معك الشيل بمجرد دخولك الى هذه الصفحات هذا في حال كانت ملغمة اساسا الان طريقة الازالة او التنظيف الذي انصح به وانصح بالقيام به الدخول الى لوحة تحكم المنتدى حذف جميع الاستايلات مع الابقاء على الاستايل الافتراضي الدخول مرة اخرى الى قاعدة بيانات المنتدى من خلال phpmyadmin نذهب الى جدول القوالب تمبلت شاهد الصورة التالية الان نعدل طريقة عرض القوالب وجعلها تعرض 300 نتيجة كي تضهر جميع القوالب بصفحة واحدة دون تقسيم شاهد الصورة التالية من خلال الفحص بالنظر فقط وحتى بدون خبرة يمكنك كشف القالب الملغم حيث سيكون يحتوي على كود غريب جدا وربش كالتالي evellcod64 gfkllre;ktjhgifodhgkrjbto4iygfhdbkbfcjkhrejuthodkg nbfhtriglfknbgklh fdgkljfdhgiurehtikufdhgkfdjbgrdiuhgngfdkluyht954df jvhbcxhjvbkdvg evellcod64 في حال اكتشافك لجدول يحوي هذه الاكواد تأكد من اسم القالب اولا ثانيا يجب ان تكون مركب نسخة منتدى على سيرفر شخصي على سبيل المثال او على موقعك مافي مشكلة المهم حتى تاخذ الاكواد منه وتضغط على صورة القلم بجاور اسم القالب لتعديله ووضع الكود الجديد بداخله وحفظه وبكل الاحوال انا سااضع اكواد اغلب القوالب التي من الممكن ان يقوم المخترق بحقنها والقوالب في المرفقات ملاحضة فقط القوالب للنسخة 3.8.5 لهنا يكون الشرح انتهى الي يحب يعمل الخطوات هذي سيقوم باارجاع منتداه الى ماكان عليه قبل الاختراق بثواني او بنفس الوقت اما الي مايعجبه فبكل سهولة ممكن يطلب من المستضيف ان يعيد له باك اب ويخسر بعض الاعضاء والمشاركات ولكن المشكلة لو كانت القوالب محقونة من زمان اي قبل حتى الباك اب اذا يجب ان تقوم بتطبيق الشرح الشرح من اعدادي والصور كذالك جميع الحقوق محفوظة ارجو فقط عند النقل ذكر المصدر وصاحب الشرح اي سؤال او استفسار انا حاضر بالتوفيق للجميع لتنحميل المرفقات تباع الموضوع التالي http://4developer.net/vb/showthread.php?t=224