المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : درس مفصل كامل مجمع للحماية الشاملة للسيرفر SERVER .. لا تتعب بالبحث وقم بتطبيق الدرس مفصل



admin
11-02-2013, بتوقيت غرينيتش 01:59 AM
السلام عليكم ورحمة الله وبركاته
أسعد الله أوقاتكم


يبدو ان الجميع بالقسم او أغلبه دائماً محتار بالشيلات وبالإختراقات المستمرة وبتخطي الحمايات
أحببت ان نقدم لكم درس مفصل شامل للحماية ويكون منظم ومعرفة مسار كل خطوة ايه تأثيرها في السيرفر SERVER من جهه الحماية

ملحوظة : نقتبس بعض المواضيع الخاصة بالمعهد مع اضافة بعض الشروحات والخطوات المنظمة لعمل ذلك وذكر فائدة كل شئ اتجاه حماية السيرفر SERVER الخاص بنا

بدايتاً للأحاطة : كيف يتم الإختراق ومع ذكر طرق تفادي ذلك بحرص .. + سلسة دروس درس مفصل الحماية الشامل

أولاً : يتم رفع شـل عن طريق ثغرة ما ولنفترض بالحقن او خلافه
يتم تفادي ذلك عن طريق المود سكيورتي

ثانياً : يتم رفع شل عن طريق التخمين في السي بانل CPANEL
طرق تفادي ذلك ..
1- عدم تصفح المواقع من الإي بي الخاص بالسيرفر SERVER
2- الحرص علي اختيار اسم يوزر الموقع عكس اسم الدومين الخاص به او تصغيره

ثالثاً : يتم تشغيل الشيلات وتخطي التصاريح الخاصة بالحماية
طرق تفادي ذلك ..
1- ايقاف الشيلات بمختلف انواعها
2- ايقاف طرق تخطي صلاحيات اليوزر وقرائه الملفات المهمة [Symlink]
3- اعطاء ملفات الكونفيجات صلاحيات الروت لعدم قرائتها إلا من قبل اليوزر نفسه او الروت فقط

رابعاً : تم أختراق موقع .. كيف يتم لي معرفة مكان الشيل بالسيرفر SERVER
1- تركيب install برنامج [System Log Viewer - LogView]
2- بعض الأوامر لمعرفة اماكن التخطي والشيلات



هذه هيا ملحقات شرح طريقة الدرس مفصل .. وأقدمها لكم في موضوع واحد حتي لا يذهب الكثير إلي أكثر من موضوع ويتشتت
ملحوظة : هذا الدرس مفصل اعداده منظم .. ويتم التطبيق بالسيرفر SERVER في اقل من 30 دقيقة




أولاً : شـرح تفادي رفع شـل عن طريق ثغرة ما ولنفترض بالحقن او خلافه


وهي بتركيب install السكيورتي مود وادراج ملف الرولز الخاص به تابعو معي

ندخل لـ السي بانل CPANEL الخاصة بالسيرفر SERVER
ونقوم بترقيه الأباتشي
رمز PHP:

<code style="white-space:nowrap"> <code> Software > EasyApache (Apache Update)
</code> </code>


ثم نقوم بأضافة السكيروتي مودُ كما هو بالصورة
http://www.mb-layer.com/sec/1.jpg
ثم نقوم بأعادة تحديث update السي بانل CPANEL والدخول إلي
رمز PHP:

<code style="white-space:nowrap"> <code> Plugins > Mod Security > Edit Config
</code> </code>


ثم نقوم مسح جميع الرولز الموجود ووضع الرولز بالمرافقات الخاص بالدرس مفصل

ثم نقوم بالحفظ

مما سبق ينتج عنه الأتي
1- تم أغلاق الحقن نهائياً من الأباتشي ومنع 90% من برامج استغلال ثغرات sql
2- تعطيل شيلات البيرل والبايثون



ثانياً : رفع شل عن طريق التخمين في السي بانل CPANEL

نقوم بالدخول إلي
رمز PHP:

<code style="white-space:nowrap"> <code> Security Center > Apache mod_userdir Tweak
</code> </code>


ثم نقوم أختيار صح امام هذا الإختيار
رمز PHP:

<code style="white-space:nowrap"> <code> Enable mod_userdir Protection
</code> </code>



ثم الحفظ

وهكذا تم اغلاق التصفح نهائياً بالأي بي وطرق التخمين اليدوية

نصيحة :
1- قم بأختيار اسم اليوزر صعب شوي عن اسم الدومين الرئيسي حرصاً علي عدم التخمين
2- قم عند عمل موقع جديد اختيار باسورد صعب ويستحسن التوليد التلقائي من السي بانل CPANEL
3- قم كل عشرة ايام بإجبار العملاء علي تغيير الباسورد من هذا الإختيار بالسي بانل CPANEL
رمز PHP:

<code style="white-space:nowrap"> <code> Account Functions > Force Password Change
</code> </code>




ثالثاً : ايقاف تشغيل الشيلات وتخطي التصاريح الخاصة بالحماية


ومن هنا يأتي أهم أهم الثغرات التي يتم اغلاقها وهي
أولاً : تفعيل السيف مود ووضع الدوال الممنوعه

ندخل إلي الشيل ونقوم بطلب هذا الأمر وفتح الملف
رمز PHP:

<code style="white-space:nowrap"> <code> pico /usr/local/lib/php.ini
</code> </code>


ثم نقوم بالبحث داخل الملف عن
Safe_mode
بإستخدام إداة البحث : Ctrl + w
ونقوم بالتعديل علي كلمة Off لتكون On

ثم نقوم بالبحث بإستخدام Ctrl + w مرة أخري عن
رمز PHP:

<code style="white-space:nowrap"> <code> disable_functions
</code> </code>


ثم نقوم بوضع هذه الدوال بعد كلمة =
رمز PHP:

<code style="white-space:nowrap"> <code> dl,system,passthru,exec,popen,proc_close,proc_get_ status,proc_nice,proc_open,proc_terminate,shell_ex ec,escape,shellcmd,pclose,pfsockopen,chgrp,debugge r_off,debugger_on,leak,listen,define_syslog_variab les,ftp_exec,posix_uname,posix_getpwuid,get_curren t_user,getmyuid,getmygid,apache_child_terminate,po six_kill,posix_mkfifo,posix_setpgid,posix_setsid,p osix_setuid,pfsockopen,chgrp,debugger_off,debugger _on,leak,listen,define_syslog_variables,ftp_exec,p osix_uname,posix_getpwuid,get_current_user,getmyui d,getmygid,apache_child_terminate,posix_kill,posix _mkfifo,posix_setpgid,posix_setsid,posix_setuid,es capeshellarg,getservbyport,getservbyname,myshellex ec,escapeshellarg,symlink,shell_exec,exec,proc_clo se,proc_open,popen,system,dl,passthru,escapeshella rg,escapeshellcmd,posix_getgid,posix_getgrgid,dl,e xec,pclose,proc_nice,proc_terminate,proc_get_statu s,pfsockopen,leak,apache_child_terminate,posix_kil l,posix_mkfifo,posix_setpgid,posix_setsid,posix_se tuid,hypot,pg_host,pos,posix_access,posix_getcwd,p osix_getservbyname,myshellexec,getpid,posix_getsid ,posix_getuid,posix_isatty,posix_kill,posix_mknod, posix_setgid,posix_setsid,posix_setuid,posix_times ,posix_uname,ps_fill,posix_getpwuid,global,ini_res tore,bzopen,bzread,bzwrite,apache_get_modules,apac he_get_version,phpversionphpinfo,php_ini_scanned_f iles,get_current_user,error_log,disk_total_space,d iskfreespace,leak,imap_list,hypo,filedump,gethostb yname,safe_mode,getmygid,php_uname,apache_getenv,a pache_setenv,bzread,bzwrite,posix_access,bzopen,ph pini,dos_conv,get_current_user,get_cwd,error_log,c md,e_name,vdir,get_dir,only_read
</code> </code>



ثم نقوم بحفظ الملف بالضغط علي Ctrl + w ثم الضغط علي Y من لوحة المفاتيج ثم أنتر

ثم نقوم بإعادة تشغيل الأباتشي بهذا الأمر
رمز PHP:

<code style="white-space:nowrap"> <code> service httpd restart
</code> </code>



وبكذا تم فتح السيف مود وتفعيل الدوال الخطرة
ولكن يقوم الهكر بتخطي هذا عن طريق وضع ملف php.ini أو الهتكسس
طيب تعالو الحين نوقف له تخطي السيف مود

نذهب إلي الشيل مرة أخري
ونضع هذا الأمر لفتح الملف المطلوب
رمز PHP:

<code style="white-space:nowrap"> <code> pico /usr/local/apache/conf/php.conf
</code> </code>


ثم نقوم بإضافة هذا السطر بالملف
رمز PHP:

<code style="white-space:nowrap"> <code> suPHP_ConfigPath /usr/local/lib/php.ini
</code> </code>


ثم نقوم بالحفظ كما شرح طريقةت بالجزء السابق بتفعيل السيف مود واغلاق الدوال

ثم نقوم بوضع هذا الأمر لطلب فتح ملف أخر

رمز PHP:

<code style="white-space:nowrap"> <code> pico /opt/suphp/etc/suphp.conf
</code> </code>


نقوم بالبحث عن
رمز PHP:

<code style="white-space:nowrap"> <code> &#91;phprc_paths&#93;
;Uncommenting these will force all requests to that handler to use the php.ini
;in the specified directory regardless of suPHP_ConfigPath settings.
;application/x-httpd-php=/usr/local/lib/
;application/x-httpd-php4=/usr/local/php4/lib/
;application/x-httpd-php5=/usr/local/lib/
</code> </code>

ونحذف علامة ; من السطر الأخير ليصبح بهذا الشكل
رمز PHP:

<code style="white-space:nowrap"> <code> &#91;phprc_paths&#93;
;Uncommenting these will force all requests to that handler to use the php.ini
;in the specified directory regardless of suPHP_ConfigPath settings.
;application/x-httpd-php=/usr/local/lib/
;application/x-httpd-php4=/usr/local/php4/lib/
application/x-httpd-php5=/usr/local/lib/
</code> </code>

نقوم بالحفظ
ونقوم بعمل ريستارت للأباتشي
رمز PHP:

<code style="white-space:nowrap"> <code> service httpd restart
</code> </code>



تم اغلاق تخطي شيلات البي اتش بي بشكل نهائي للسيف مود والدوال

لكن سؤال .. من الممكن ان يتم نقل موقع ويقوم بالفعل بوجود شيلات عليه ويقوم المخترق بأختراقه العديد من المرات
كيف يمكننا اغلاق هذه الشيلات

تعالو نشوف هذا الدرس مفصل اعزائي

ندخل إلي الشل
نقوم بتطبيق هذا الأمر
رمز PHP:

<code style="white-space:nowrap"> <code> /scripts/phpextensionmgr install PHPSuHosin
</code> </code>


بعد الإنتهاء نقوم بوضع هذا الأمر
php -v
بعد اظهار النتائج نريد التأكد من وجود هذا السطر
رمز PHP:

<code style="white-space:nowrap"> <code> with Suhosin v0.9.31, Copyright (c) 2014-2014, by SektionEins GmbH
</code> </code>


لو تم وجودة يكون خطواتنا بشكل صحيح
ثم نقوم بطلب هذا الملف
pico /usr/local/lib/php.ini
ونضع بأخره هذا
رمز PHP:

<code style="white-space:nowrap"> <code> suhosin.executor.func.blacklist =dl,system,passthru,exec,popen,proc_close,proc_get _status,proc_nice,proc_open,proc_terminate,shell_e xec,escape,shellcmd,pclose,pfsockopen,chgrp,debugg er_off,debugger_on,leak,listen,define_syslog_varia bles,ftp_exec,posix_uname,posix_getpwuid,get_curre nt_user,getmyuid,getmygid,apache_child_terminate,p osix_kill,posix_mkfifo,posix_setpgid,posix_setsid, posix_setuid,pfsockopen,chgrp,debugger_off,debugge r_on,leak,listen,define_syslog_variables,ftp_exec, posix_uname,posix_getpwuid,get_current_user,getmyu id,getmygid,apache_child_terminate,posix_kill,posi x_mkfifo,posix_setpgid,posix_setsid,posix_setuid,e scapeshellarg,getservbyport,getservbyname,myshelle xec,escapeshellarg,symlink,shell_exec,exec,proc_cl ose,proc_open,popen,system,dl,passthru,escapeshell arg,escapeshellcmd,posix_getgid,posix_getgrgid,dl, exec,pclose,proc_nice,proc_terminate,proc_get_stat us,pfsockopen,leak,apache_child_terminate,posix_ki ll,posix_mkfifo,posix_setpgid,posix_setsid,posix_s etuid,hypot,pg_host,pos,posix_access,posix_getcwd, posix_getservbyname,myshellexec,getpid,posix_getsi d,posix_getuid,posix_isatty,posix_kill,posix_mknod ,posix_setgid,posix_setsid,posix_setuid,posix_time s,posix_uname,ps_fill,posix_getpwuid,global,ini_re store,bzopen,bzread,bzwrite,apache_get_modules,apa che_get_version,phpversionphpinfo,php_ini_scanned_ files,get_current_user,error_log,disk_total_space, diskfreespace,leak,imap_list,hypo,filedump,gethost byname,safe_mode,getmygid,php_uname,apache_getenv, apache_setenv,bzread,bzwrite,posix_access,bzopen,p hpini,dos_conv,get_current_user,get_cwd,error_log, cmd,e_name,vdir,get_dir,only_read
</code> </code>



ثم نقوم بالحفظ

وكذا تتوقف اغلب الشيلات الموجودة بالسيرفر SERVER بشكل نهائي

طيب يتواجد ايضاً بالسي بانل CPANEL 3 ثغرات ويقومون الثلاثة بتخطي الصلاحيات كاملة
وهم
رمز PHP:

<code style="white-space:nowrap"> <code> 1- Corn Jobs
2- Front Page
3- Symlink
</code> </code>

تعالو بنا نغلقهم
نروح ندخل السي بانل CPANEL ثم
رمز PHP:

<code style="white-space:nowrap"> <code> Packages > Feature Manager > Edit a Feature List
</code> </code>


ثم بالضغط علي Edit
ثم بحذف علامة الصح من
رمز PHP:

<code style="white-space:nowrap"> <code> Crontab
Frontpage
</code> </code>


وبكذا اغلقنا اول ثغرتين

إنما مشكلة فك الضغط والـ Symlink
تابعو معي
ندخل إلي الشيل ثم بهذا الأمر
رمز PHP:

<code style="white-space:nowrap"> <code> pico /usr/local/apache/conf/httpd.conf
</code> </code>


نقوم بالبحث عن
رمز PHP:

<code style="white-space:nowrap"> <code> <Directory "/">
</code> </code>


ثم نقوم بحذف الأمر كله إلي نهايته حتي امر أغلاقه

ثم نقوم بوضع هذا مكانه
رمز PHP:

<code style="white-space:nowrap"> <code> <Directory "/">
Options -ExecCGI -FollowSymLinks -Includes IncludesNOEXEC Indexes -MultiViews SymLinksIfOwnerMatch
AllowOverride AuthConfig Indexes Limit FileInfo Options=IncludesNOEXEC,Indexes,Includes,MultiViews ,SymLinksIfOwnerMatch
</Directory>
</code> </code>

نقوم بالحفظ
ثم وضع هذه الأوامر بالشل

رمز PHP:

<code style="white-space:nowrap"> <code> chmod 711 /
chmod 711 /home
chmod 711 /etc
</code> </code>


ثم
رمز PHP:

<code style="white-space:nowrap"> <code> service httpd restart
</code> </code>



وبكذا تم تفادي جميع مشاكل تخطي اليوزر بشكل نهائي

للحفاظ علي عدم التخطي اكثر يمكنك بعد هذا كله عمل صلاحيات الكونفيج للمنتديات والوردبريس والمجلات ... إلخ إلي صلاحيات الروت
بهذا الأمر

رمز PHP:

<code style="white-space:nowrap"> <code> chown -R root.root /home/User/public_html/vb/includes/config.php
</code> </code>



User : اسم يوزر الموقع

ويمكنك عمل كافة الاسكربتات إلي هذا الشكل ومنعاً للقرائه نهائياً من قبل يوزر أخر



رابعاً : شرح طريقة شرح كيفية معرفة مكان الشيل بالسيرفر SERVER ومشاهدة احداث الملفات


اولاً ندخل إلي الشيل ثم نطلب هذه الأوامر
رمز PHP:

<code style="white-space:nowrap"> <code> wget http://www.logview.org/logview-install
chmod +x logview-install
./logview-install
rm -f logview-install
</code> </code>



ثم نقوم بالدخول إلي السي بانل CPANEL
رمز PHP:

<code style="white-space:nowrap"> <code> Plugins > System Log Viewer - LogView
</code> </code>


وهنا كل احداث السيرفر SERVER بكل شئ
الاسبام + الاباتشي وإلخ
واهمهم في مشاهدة احداث التصفح والشيلات هذا الإختيار



رمز PHP:

<code style="white-space:nowrap"> <code> suphp_log
</code> </code>


وهنا يقول لك الملفات المستخدمة ويكون دائماً الهكر يستخدم اسماء مجهولة في الشيلات كمثل
رمز PHP:

<code style="white-space:nowrap"> <code> 1.php
yes.php
my.php
</code> </code>


وهكذا فـ يتم الأنتباه بشدة

وطريقة أخري للمعرفة عن طريق الشل
وهي قم بالدخول إلي الشل
وطلب البحث عن
رمز PHP:

<code style="white-space:nowrap"> <code> find /home/*/public_html/ -name '*' -type l
find /home/*/public_html/ -name php.ini
</code> </code>

لو تم اظهار اي نتائج لأي أمر من الأمرين .. تعرف علي يوزر الموقع من خلاله ومكان الشل بالتفصيل



وهكذا تم أنتهاء درس مفصلنا ويتم الأستفسار عن اي شئ داخل الموضوع وبالأمر


ملحوظة :
1- هذا الموضوع مجمع من معظم مواضيع + مو مكرر كامل
2- تم تجميعه للفائدة وتطبيقه بدرس مفصل واحد فقط
3- دراستي بالهكر والحماية .. تمت توفير الوقت الكافي للحماية بالشكل الكامل من الأختراق وغيره


أتمني التوفيق

شركة ميجا لاير
http://www.mb-layer.com




الملفات المرفقة
http://www.traidnt.net/vb/images/attach/txt.gif rolz.txt (http://www.traidnt.net/vb/attachments/663173d1346977690-rolz.txt) (63.4 كيلوبايت, عدد مرات المشاهدة 178 مرة)


https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©

استعمل مربع البحث في الاسفل لمزيد من المواضيع


سريع للبحث عن مواضيع في المنتدى