Page 1 of 1
مشكلة 403 Forbidden
Posted: Fri May 07, 2010 4:47 pm
by I-MAG
السلام عليكم.
تم اختراق ناشري يوم أمس.
وتم ولله الحمد حل المشكلة ومسحت شركة الاستضافة السيرفر وتم التأكد من عدم وجود ملفات مشبوهة.
أعدت رفع جميع ملفات جوملا من نسخة نظيفة.
وعاد الموقع إلى العمل دون مشاكل لعدة ساعات.
لكن!
الآن، صارت تظهر رسالة الخطأ التالية:
403 Forbidden
كلمت شركة الاستضافة، فقالوا:
I have attempted to make several changes for you but unfortunately the content management system being used continues to request that 403 page. I recommend consulting Joomla support for further insight regarding this. Please let us know if you need any further assistance. Thank you.
قمت بتحديث الإضافات المستخدمة، لعل إحداها تكون السبب.
أعدت رفع ملف htaccess الجديد
ال Legacy plugin مفعلة.
هل من مقترحات؟
شكرا جزيلا.
Re: مشكلة 403 Forbidden
Posted: Sat May 08, 2010 11:33 am
by sherif
السلام عليكم
قرأت موضوعك ثم قمت بزيارة الموقع واستعرضت عدة صفحات ، والحقيقة أنه لم يصادفني الخطأ المذكور في موضوعك
لعل المشكلة قد زالت وتم اصلاحها
سؤال مهم للفائدة عموما : هل استطعتم فحص سجلات السرفر وتحديد مصدر الاختراق ؟
تحياتي
Re: مشكلة 403 Forbidden
Posted: Sat May 08, 2010 1:08 pm
by I-MAG
وعليكم السلام.
الحمد لله صار يعمل، لكني في الحقيقة لقد أضطررت إلى بناء الموقع من جديد!
ألغيت الملفات القديمة، ورفعت نسخة جديدة من جوملا، وربطتها بقاعدة البيانات، وأعدت تركيب جميع الإضافات واحدة واحدة.
بالنسبة للاختراق، وجدت ملفات في المجلد الرئيسي، أحدها ملف جافا.
ووجدت أن المخترق على ما يبدو دخل لوحة التحكم، وعطل إضافة ال legacy.
على العموم، غيرت اسم المستخدم وكلمة السر الخاصتين بقاعدة البيانات.
وكذلك كلمات السر الخاصة بإداريي الموقع.
لكن ما مصدر الاختراق، لم أعرف صراحة.
قراءة ال raw access log
لا تزال عملية صعبة بالنسبة لي. لا أعرف كيف أحدد من مئات الأسطر، العملية التي قد تكون السبب وراء الاختراق.
شكرا جزيلا أخي شريف، وجزاك الله كل خير.
Re: مشكلة 403 Forbidden
Posted: Sat May 08, 2010 2:46 pm
by sherif
هل يوجد لديكم سجلات السرفر عن الأيام السابقة على حدوث الاختراق
شاملة سجلات ال اف تي بي
يمكننا المساعدة للتوصل للسبب ربما لا يزال قائما بشكل او بآخر
تحياتي
Re: مشكلة 403 Forbidden
Posted: Sat May 08, 2010 4:08 pm
by I-MAG
لدي السجلات، لكن لا أعلم إذا كانت تشمل ال ftp
أخذتها من ال raw access log ن ال cpanel
سأرسلها لك عبر رسالة خاصة بعد قليل.
شكرا جزيلا لمساعدتك.
تحياتي
Re: مشكلة 403 Forbidden
Posted: Sun May 09, 2010 5:06 pm
by I-MAG
السلام عليكم.
يبدو أن المشكلة تكاد تعود.
في الاختراق السابق بدأت المشكلة هكذا ثم زادت:
http://www.nashiri.net/aaa.html
لاحظوا، في أي صفحة لا وجود لها، يظهر عنوان الصفحة في المتصفح في الأعلى:
Cheap generic Drugs!
لا أعرف من أين يأتي هذا السطر.
Re: مشكلة 403 Forbidden
Posted: Sun May 09, 2010 5:32 pm
by I-MAG
أكتشفت محل المشكلة:
templates/system
هناك ملف جافا مزروع هناك، كان هو السبب.
error.js
السؤال كيف أعرف من أين جاء.
هل هو خلل في التصاريح؟
تأكدت منها، وكل شيء على ما يرام.
Re: مشكلة 403 Forbidden
Posted: Tue May 11, 2010 4:33 pm
by I-MAG
هل تمكنت أخي شريف من اكتشاف السبب من خلال السجلات؟
الأمر يتكرر يوميا.
أجد ملف
error.js
في مجلد templates/system
ويعود الموقع إلى العمل بعد إزالته يدويا.
تحياتي.
Re: مشكلة 403 Forbidden
Posted: Wed May 12, 2010 12:03 am
by sherif
السلام عليكم
لم أعلم انكم ستحتاجون النتائج بهذه السرعة ، حيث ذكرتي أنتي سابقا أن الموضوع تحت السيطرة
عموما للعلم ، حجم الملف بعد فك الضغط 133 ميجابايت
يحتوي قرابة نصف مليون سطر
جاري فلترة الملف و تقسيمه الى اجزاء أصغر
كذلك يمكن ألا نصل الى السبب من هذه السجلات ويكون السجل المفيد ضمن سجلات الاف تي بي التي لم أراها
وحتى ينتهي ذلك ، وليس قريبا :
* أقترح اعادة تغيير بيانات الدخول لكل من الاف تي بي ، وكذلك السي بانل ، وأدمن جملا
*كذلك فحص السي بانل ، في قسم عمل الكرون جوب ، للتأكد أن الفاعل لم يدس أمرا لتحميل شيئ بطريقة مجدولة
*التأكد من أن جهازك الشخصي أو أي جهاز تستخدمينه في ادارة الموقع خالي من الفيروسات والسكربتات الضارة التي تسرق المعلومات
وصدقينى حين أقول أن الأمر يستحق اعادة تثبيت الويندوز من جديد لمجرد الشك ، علما بأن مضادات الفيروسات نسبة نجاحها ليست 100% بل على الأكثر تكتشف 70-80% من اصل الفيروسات
*التأكد من أن النسخة الاحتياطية التي ستستعملوها نظيفة بالفعل ، فربما كان الاختراق قديم ولكن الأعراض جديدة
*كذلك ضعي في الاعتبار ، الاختراق يمكن أن يكون من الداخل ، يعني من موقع مجاور على السيرفر ، ويجب على الاستضافة معرفة ذلك وتعقبه و منعه اذا صح الظن .
*الصفحات التي تظهر فيها أشياء دخيلة سيكون السبب اما كود مدسوس في جدول قاعدة البيانات التي يحتويها
أو في ملفات الاندكس للموقع ككل
او اندكس القالب نفسه
أتمنى أن أستطيع المساعدة بطرق أخرى ولكن للحقيقة أقول أن عرضك للموضوع علنا يعتبر غير آمن ، وكذلك مهما تعمقنا في التفاصيل فلن تكون معبرة عن الفحص على الطبيعة بالضبط
أرى أن الموقع حاليا أوفلاين ، وأتمنى أن تستطيعوا الوصول مع الاستضافة الى حل قريبا
تحياتي
Re: مشكلة 403 Forbidden
Posted: Wed May 12, 2010 8:48 am
by suneye
إضافة لما تفضل به أخي شريف من رد مفيد
أنصح بفحص صفحة Manage Remote MySQL Access ضمن Cpanel الموقع في قسم قواعد البيانات
فعادة يتم كتابة اسم هوست ضمن المربع Add Access Host وبالتالي يمكنه الوصول الى قواعد البيانات
كذلك من Cpanel الموقع حذف FrontPage Extensions وتنظيف النسخة القديمة في حال كانت منصبة
والأهم هو تغيير بادئة جداول قواعد البيانات
سجلات اللوغ تكون مفيدة عند البحث بها في لحظة اختراق الموقع وبالتالي يمكن معرفة أخر من قام بزيارة الموقع والصفحات التي دخل إليها
وعندئذ يمكن تحديد رقم الآي بي والتأكد من الأماكن المزارة
والآن يمكن القيام بذلك أيضاً ولكن الأمر يحتاج إلة خبرة ووقت كبيرين
فنصيحتي إما ان تقومي بتسليم هذه المهمة إلى شخص محترف
أو تقومي بتنفيذ توصية أخي أشرف ببدء العمل بشكل نظيف
بالتوفيق
Re: مشكلة 403 Forbidden
Posted: Wed May 12, 2010 2:27 pm
by I-MAG
شكرا أخواي شريف ومحمود.
أقدر لكما مساعدتكما.
FrontPage Extensions معطلة كلها
Manage Remote MySQL Access لا يوجد فيها شيء.
مسحت كل ملفات جوملا، ورفعت نسخة جديدة، ولم أركب إية إضافات نهائيا حتى الآن.
وكنت أنوي أن أضيف الإضافات واحدة واحدة بالتدريج كل يوم، فقد تكون إحداها السبب. وبالتالي يمكن معرفة الإضافة التي تفتح الثغرة.
حتى الآن لم أركب إية إضافة، وعندما حاولت اختبار الموقع، ونشر مقالة جديدة، ظهر لي:
ScreenShot433.jpg
أعدت رفع الملفات في هذا المجلد، لعل أحدها ناقص، لكن دون جدوى.
لا أعرف ما الحل.
شكرا مجددا، وجزاكما الله كل خير.
Re: مشكلة 403 Forbidden
Posted: Wed May 12, 2010 6:55 pm
by sherif
Re: مشكلة 403 Forbidden
Posted: Wed May 12, 2010 8:35 pm
by I-MAG
شكرا جزيلا.
غيرت الملف، ولا تزال المشكلة قائمة.
هذه نتيجة الفحص:
معلومات الفحص
Joomla! Version: Joomla! 1.5.17 Stable [ Wojmamni ama woobusani ] 27-April-2010 04:00 GMT
configuration.php: Writable (Mode: 644 ) | RG_EMULATION: N/A
Architecture/Platform: Linux 2.6.18-128.7.1.el5 ( x86_64) | Web Server: Apache ( http ://www. mysite.net ) | PHP Version: 5.2.5
PHP Requirements: register_globals: Enabled | magic_quotes_gpc: Enabled | safe_mode: Disabled | MySQL Support: Yes | XML Support: Yes | zlib Support: Yes
mbstring Support (1.5): Yes | iconv Support (1.5): Yes | save.session_path: Writable | Max.Execution Time: 60 seconds | File Uploads: Enabled
MySQL Version: 5.0.90-community ( Localhost via UNIX socket )
معلومات تفصيلية أكثر:
SEF: Enabled (with ReWrite) | FTP Layer: Disabled | htaccess: Implemented
PHP/suExec: User and Web Server accounts are the same. (PHP/suExec probably installed)
PHP Environment: API: cgi | MySQLi: Yes | Max. Memory: 64M | Max. Upload Size: 50M | Max. Post Size: 50M | Max. Input Time: 60 | Zend Version: 2.2.0
Disabled Functions:
MySQL Client: 5.0.90 ( latin1 )
أليس من الطبيعي أن يكون ملف config
ذو تصريح 644؟
بالنسبة لل register globals
وضعت هذا السطر في ملف .htaccess
php_value register_globals Off
فمن المفروض ألا يكون هناك مشكلة.
Re: مشكلة 403 Forbidden
Posted: Wed May 12, 2010 9:11 pm
by sherif
I-MAG wrote:غيرت الملف، ولا تزال المشكلة قائمة.
أنصحك بتغيير الملف في حزمة التثبيت نفسها واعادة التثبيت من جديد ، لاسنبعاد أي اخطاء حدثت اثناء التثبيت
I-MAG wrote:
أليس من الطبيعي أن يكون ملف config
ذو تصريح 644؟
بالنسبة لل register globals
وضعت هذا السطر في ملف .htaccess
php_value register_globals Off
فمن المفروض ألا يكون هناك مشكلة.
بالنسبة لهذه الملحوظة
configuration.php: Writable (Mode: 644 )
فالسبب أن التصريحات الطبيعية لهذا الملف هي 444 في كل اصدارات جملة 1.5
وبالتالي انتظري حتى تنتهي من اعادة تثبيت جملا بعد تعديل الملف وبعد ذلك سنرى
أما
register_globals: Enabled
فهذه مشكلة المشاكل وسبب معظم الاختراقات
هل حاولتي وضع ملف php.ini في فولدر الموقع وفولدر الأدمن يحتوي على جملة
php_flag register_globals off
اذا حدث خطأ 500 للسيرفر فاتصلي بالاستضافة ليقوموا بحل هذه المشكلة معكي بأي شكل بالطريقة التي تناسبهم
Re: مشكلة 403 Forbidden
Posted: Wed May 12, 2010 10:19 pm
by I-MAG
شكرا أخي شريف.
اقوم الآن بإعادة رفع جملا.
هل تقترح علي تشغيل ال installation
ثم تغيير قيم ملف ال configuration.php غلى البيانات القديمة.
أم أضع ملف ال configuration.php القديم وحسب وأشغل الموقع؟
هل هناك فارق عمليا بينهما؟
لأني اتبعت الطريقة الثانية كونها أسهل.
في ال root الأعلى الخاص بالموقع وجدت ملف
php.ini
وفيه وجدت التالي:
Code: Select all
; You should do your best to write your scripts so that they do not require
; register_globals to be on; Using form variables as globals can easily lead
; to possible security problems, if the code is not very well thought of.
register_globals = On
فهل أحولها إلى
register_globals = off
أم أصنع ملفا جديدا فيه العبارةالتي زودتني بها، وأضعه في مجلد جملة، وفي مجلة لوحة تحكم جملة؟
بالمناسبة،
وجدت أمس هذه العبارة في ملف .htaccess
يبدو أن المخترق قد زرعها:
Code: Select all
RewriteRule ^(.*).html$ http://nashiri.net/includes/mambo.php?j=$1
مع خالص شكري على مساعدتك ووقتك.
Re: مشكلة 403 Forbidden
Posted: Wed May 12, 2010 11:12 pm
by sherif
I-MAG wrote:شكرا أخي شريف.
اقوم الآن بإعادة رفع جملا.
هل تقترح علي تشغيل ال installation
ثم تغيير قيم ملف ال configuration.php غلى البيانات القديمة.
نعم اتبعي الطريقة العادية
I-MAG wrote:في ال root الأعلى الخاص بالموقع وجدت ملف
php.ini
وفيه وجدت التالي:
Code: Select all
; You should do your best to write your scripts so that they do not require
; register_globals to be on; Using form variables as globals can easily lead
; to possible security problems, if the code is not very well thought of.
register_globals = On
فهل أحولها إلى
register_globals = off
[rtl]نعم قومي بتعديلها فقط
وانسخيه الى ملف الأدمن بعد التثبيت[/rtl]
I-MAG wrote:بالمناسبة،
وجدت أمس هذه العبارة في ملف .htaccess
يبدو أن المخترق قد زرعها:
Code: Select all
RewriteRule ^(.*).html$ http://nashiri.net/includes/mambo.php?j=$1
[rtl]احذفي كل شيئ من الملفات القديمة تماما[/rtl]
Re: مشكلة 403 Forbidden
Posted: Wed May 12, 2010 11:48 pm
by I-MAG
أعدت تنصيب جوملا على قاعدة جديدة وكل الأمور تمام.
بمجرد أن غيرت اسم قاعدة البيانات في ملف configuration.php
إلى اسم قاعدة البيانات القديمة، انقلبت الأمور، ولا أتمكن من إضافة مقالة، إذ تظهر لي الشاشة التي وضعتها في الأعلى.
هل يكون العطب في قاعدة البيانات؟
أو ربما علي إزالة جميع الإضافات من القاعدة نفسها مثلا؟
مع خالص الشكر.
Re: مشكلة 403 Forbidden
Posted: Thu May 13, 2010 12:02 am
by sherif
المشكلة الظاهرة في الرسالة خاصة بالمحرر
تأكدي من أن المحرر المذكور في اعدادات الموقع و لكي كعضو مدير هو المحرر الافتراضي الموجود مع جملا
وليس أي محرر خارجي تم اضافته في مراحل سابقة
Re: مشكلة 403 Forbidden
Posted: Thu May 13, 2010 12:06 am
by I-MAG
تحديث:
قمت بإلغاء جميع الجداول الخاصة بالإضافات من قاعدة البيانات، ولا زالت رسالة الخطأ تلك تظهر.
Re: مشكلة 403 Forbidden
Posted: Thu May 13, 2010 12:26 am
by sherif
بالنظر الى هذه المشاركة والصورة الموجودة فيها أجد تطابق في نفس الخطأ لديكي
http://forum.joomla.org/viewtopic.php?p ... 8#p1283228
وهي تدور كلها حول محرر النصوص واي ملحقات تم تركيبها فيه مثل
أزرار دوكمان
ابحثي حول هذا الموضوع في ادارة الملحقات البرميجة ،عندك
وكذلك لا تنسي أن تردي عليا بخصوص ما سبق اقترحته عليكي
وهو أن :
تأكدي من أن المحرر المذكور في اعدادات الموقع و لكي كعضو مدير هو المحرر الافتراضي الموجود مع جملا
وليس أي محرر خارجي تم اضافته في مراحل سابقة
Re: مشكلة 403 Forbidden
Posted: Thu May 13, 2010 12:34 am
by I-MAG
لا فائدة!
حتى أني جربت خيار no editor ولم يتغير شيء.
علما بأني لم أركب أي محرر غير ذلك الافتراضي مع جملة.
وقد قمت بإلغاء جميع الإضافات من
components
plugins
modules
من قاعدة البيانات.
ولا أدري أين الحلقة المفقودة.
في أي جدول علي أن أبحث، لعلي أجد السبب.
بالمناسبة،
قامت شركة الاستضافة للتو بإغلاق register globals
Re: مشكلة 403 Forbidden
Posted: Thu May 13, 2010 12:51 am
by sherif
اذهبي الى قاعدة البيانات و اختاري تصدير أو
export
ثم قومي بتحديد هذا الجدول فقط من الخيارات وليس كل القاعدة
Table: jos_plugins
أيا كان البادئة سواء jos أو غيرها
ثم قومي بتصدير هذا الجدول بالكامل فقط من قاعدة البيانات الى ملف
سيكون ملفا صغيرا
وارسليه هنا
Re: مشكلة 403 Forbidden
Posted: Sat May 15, 2010 12:06 am
by sherif
ما الأخبار يا أستاذة ، الموقع مازال مغلقا ولم نتلق رد على مشاركتي الأخيرة
عاوزين نطمئن على موقعنا العملاق
بالتوفيق
Re: مشكلة 403 Forbidden
Posted: Sat May 15, 2010 1:12 am
by I-MAG
شكرا جزيلا على اطمئنانك أخي شريف.
جزاك الله خيرا، بالفعل وجدت الحل في جدول ال plugins
السبب كان من plugin خاصة بال
custom properties
وليس الدوكمان.
كان هما وانزاح، فشكرا لك.
الهم الأكبر الآن هو معرفة كيفية الاختراق.
بمراجعة سجلات ال FTP
تبين أن المخترق توصل إلى ملفات كثيرة منها للأسف
.htaccess
configuration.php
index.php
ورفع بدائل عنها من جهازه.
لا أعرف كيف تم هذا، هل بالتعرف إلى كلمة سر الأف تي بي، أم أنه وجد ثغرة في الموقع رفع منها الملفات.
وهل -لو دخل الهاكر بطريق غير ال الأف تي بي الاعتيادي- سيتسجل دخوله ضمن سجلات الأف تي بي.
على العموم تم تعطيل ال register globals من قبل المستضيف
وغيرت جميع كلمات السر.
نسخة جوملا الجديدة الآن تعمل ولله الحمد، لكن بقي إعادة تركيب كل الإضافات بشكل تدريجي وانتظار أية تحركات، لمعرفة أي إضافة قد تكون الثغرة التي دخل منها المخترق.
دعواتكم.