• Downloading from our site will require you to have a paid membership. Upgrade to a Premium Membership from 10$ a month today!

    Dont forget read our Rules! Also anyone caught Sharing this content will be banned. By using this site you are agreeing to our rules so read them. Saying I did not know is simply not an excuse! You have been warned.

10 biện pháp bảo mật cho forum (rất hay chú ý nha)

Admin

Admin

Well-Known Member
Staff member
Administrator
1/ Thay đổi toàn bộ cấu trúc source code site của bạn. Nếu có thời gian rãnh thì bạn nên thay đổi toàn bộ cấu trúc thư mục* đừng bao giờ để cấu trúc mặc định. Ví dụ như: admincp* modcp*...
2/ Nên bỏ bản quyền* hoặc mã nguồn của 4rum mình đang sử dụng đi* chớ có để Power by Vbulletin 3.6.4 hay đại loại là gì đó. Tại sao ah? Câu trả lời sẽ là khi hacker tìm thấy 1 lỗi bảo mật của 1 loại source code nào đó thì sẽ tiến hành search trên google 1 từ khóa nhạy cảm nào đó! Nếu ta vẫn giữ nguyên thì google sẽ nắm đầu site bạn ra liệt kê trên kết quả tìm kiếm và tèn tén ten* site bạn trở thành món đồ thực hành của tụi hacker.
3/ Thường xuyên update phiên bản mới nhất cho 4rum! Vì như vậy sẽ tránh được lỗi bảo mật!
4/ Đặt firewall chống ddos cho 4rum! Có rất nhiều loại firewall*bạn cứ chọn cái nào kool* thíchhợp nhất cài đặt cho 4rum mình (vào các site tin học mà tìm nhá). Tuy có hơi bất tiện chomem khi truy cập nhưng phòngcháy vẫn hơn chữa cháy mà!
Hoặc có 1 loại firewall rất đơn giản nhưng hiệu quả chống ddos rất cao đó là chức năng Password Protect Directory* (đasố các host cpanel đều có chức năng này)* bạn dùng chức năng này để bảo vệ cho thư mục root. Ý nghĩa là: khi có khách truy cập vào 4rum thì sẽ hiện ra 1 thông báo yêu cầu nhập user và pass*họ sẽ tiến hành điền pass và user vào . Còn các cỗ máy để ddos không thể làm được điều này. Ví dụ: như VNU của chúng ta bị ddos cũng đang mở firewall này đó.
5/ Bảo vệ fire cấu hình. Cái này rất quan trọng* vì nếu lỡ hackercó được con shell trên host của bạn rồi thì nó cũng sẽ chẳng làm ji đuợc đến cái database của chúng ta trừ khi bị nó get root! Ta tiến hành làm như sau:
B1: Tạo 1 file có tên datasite.php có nội dung của file config.php* trong thư mục#data.
B2: Xóa hết toàn bộ nội dung của file config.php* thay bằng đoạn code sau:
<?php include"#data/datasite.php" ?>
B3: Mã hóa file . Bạn dùng 1 toolzend code nào đó kool kool mà hạcker ko thể giải mã được tiếnhành mã hóa các file quan trọng.
B4: Quan trong nhất nè* bạn CHMOD thư mục #data thành 111* nếu host ko hỗ trợ thì CHMOD là 711 cũng đuơc. Nếu làm đúng file sẽ mất tiêu thư mục #data y như thư mục rỗng
==>Vậy là xong!
8/ Dùng ảnh xác nhận để chốngflood member .Mở chúc năng này như sau:
B1: vào admincp/vbulletin option /User Registration Options
B2: Ảnh xác nhận *chọn đồng ý
B3: vào vbulletin options /Help Server Settings and Optimization Options
Mục GD Version chọn GD 2
7/ Backup database thường xuyên *vào Import & Maintenance/Database Backup để làm
Khi cần có thể dùng 1 cái script backup nào đó như bigdump chẳng hạn để khôi phục lại ....



8/ Bảo vệ link admincp* cái này ở phần 1 tôi có nói rồi. Bạn hãy change link admin sao cho độc độc á* ví dụ như: maiyeuemthanhxuan/index.php. Sau đó dùng chức năng Password Protect Directory để thêm 1 lớp pass bảo vệ nữa. Như vậy nếu có xui xẻo bị lộ pass admin cũng chẳng sao* hacker phải mò ra cái pass bảo vệ này* mò ko ra nó cũng nản ah! hehe
Đoạn code sau đây sẽ báo cho bạn biết khi có người cố gắng đột nhập vô admincp nè:
vB3.5 Email notification if someone attempts to access your Admin or Mod CP
Version 1.0.1
(By Boofo)
What does this modification do?
When someone tries to login to your Admin CP or Mod CP* you will get an email that contains the username they tried* the password they tried* their IP address* hostname* number ofstrikes* referrer* script* and the date & time of the attempt. It also will now distinguish itselfin the message subject betweena failed Admin CP attempt and a failed Mode CP attempt* so you will know right off which CP they tried to login to.
NOTE: To alleviate anyone getting upset about plain text passwords being transmitted from the server* the ONLY time a plain text password is sent* iswhen it is a failed login attempt.It is not stored on the server anywhere and no hashed passwords are ever revealed to anyone. I think it's good to know if anyone is getting close to what my CP password is so I can change it if necessary.
Credits:
Thanks to EvilLS1 for making thevB 3.0 version of this modification on which this update is based and released with permission.
Version Information:
Version 1.0.0 --Initial release
Version 1.0.1 --Fixed user name being wrong on a user attempt.
Installation overview:
--------------------------------------
Files to edit: (2)
--incudes/adminfunctions.php
--login.php
Installation Instructions:
--------------------------------------
In incudes/adminfunctions.php
Find:
PHP: 
<form action="../login.php" method="post" name="loginform" onsubmit="md5hash(vb_login_password* vb_login_md5password* vb_login_md5password_utf); js_do_options(this)">
--------------------------------------
REPLACE it with:
--------------------------------------
PHP: 
<?php
if ($logintype=='cplogin' OR$logintype=='modcplogin')
**
echo '<form action="../login.php" method="post" name="loginform" onsubmit="document.forms.loginform.vbpassword.valu e=document.forms.loginform.vb_login_password.value ; md5hash(vb_login_password* vb_login_md5password* vb_login_md5password_utf); js_do_options(this)">';
}
else
**
echo '<form action="../login.php" method="post" name="loginform" onsubmit="md5hash(vb_login_password* vb_login_md5password* vb_login_md5password_utf); js_do_options(this)">';
}
?>
--------------------------------------
Find:
PHP: 
<input type="hidden" name="vb_login_md5password_utf" value="" />
BELOW it add:
PHP: 
<input type="hidden" name="vbpassword" value="" />
In login.php
Find:
PHP: 
'vb_login_md5password_utf' => TYPE_STR*
BELOW it add:
PHP: 
'vbpassword' => TYPE_STR*

Find:
PHP: 
$strikes = verify_strike_status($vbulletin->GPC['vb_login_username']);

BELOW it add:
--------------------------------------
PHP: 
$username =$vbulletin->GPC['vb_login_username'];
$fapassword =$vbulletin->GPC['vbpassword'];
$fdate = date('l* F jS* Y');
$ftime = date('g:i:s a');
$fdatetime = "Date/Time: $fdate at $ftime \r\n";
$fscriptpath = "Script: http://$_SERVER[HTTP_HOST]" . SCRIPTPATH . "\r\n";
$freferer = 'Referrer: ' . REFERRER . "\r\n";
$fusername = "Username tried:$username \r\n";
$fpassword = "Password tried:$fapassword \r\n";
$fipaddress = 'IP Address: ' . IPADDRESS . "\r\n";
$iphostname = "Host: " . @gethostbyaddr(IPADDRESS) ."\r\n";
if ($vbulletin->userinfo['userid']> 0)
**
$realname = "\nUSER ATTEMPT: ". $vbulletin->options['bbtitle'] . " has identified this registered user as: " .$vbulletin->userinfo['username'] . "\r\n";
}
--------------------------------------
Find:
--------------------------------------
// log this error if attempting to access the control panel
require_once(DIR . '/includes/functions_log_error.php');
--------------------------------------
BELOW it add:
--------------------------------------
$fstrk = "Strikes:$GLOBALS[strikes] out of 5 \r\n";
if ($vbulletin->GPC['logintype']=== 'cplogin')
**
$subject= 'WARNING: Failed Admin CP logon in ' .$vbulletin->db->appname . ' ' .$vbulletin->options['templateversion'] . "\r\n\r\n";
$message="Someone is trying to login to your " .$vbulletin->options['bbtitle'] . " Admin CP!\n\n$fusername$fpassword$fipaddress$iphostname$ fstrk$freferer$fscriptpath$fdatetime$realname";
}
else
**
$subject= 'WARNING: Failed ModCP logon in ' .$vbulletin->db->appname . ' ' .$vbulletin->options['templateversion'] . "\r\n\r\n";
$message="Someone is trying to login to your " .$vbulletin->options['bbtitle'] . " Mod CP!\n\n$fusername$fpassword$fipaddress$iphostname$ fstrk$freferer$fscriptpath$fdatetime$realname";
}
vbmail($vbulletin->options['webmasteremail']* $subject*$message* true);
-----------------------------------
PHP: 
$username =$vbulletin->GPC['vb_login_username'];
$fapassword =$vbulletin->GPC['vbpassword'];
$fdate = date('l* F jS* Y');
$ftime = date('g:i:s a');
$fdatetime = "Date/Time: $fdate at $ftime \r\n";
$fscriptpath = "Script: http://$_SERVER[HTTP_HOST]" . SCRIPTPATH . "\r\n";
$freferer = 'Referrer: ' . REFERRER . "\r\n";
$fusername = "Username tried:$username \r\n";
$fpassword = "Password tried:$fapassword \r\n";
$fipaddress = 'IP Address: ' . IPADDRESS . "\r\n";
$iphostname = "Host: " . @gethostbyaddr(IPADDRESS) ."\r\n";
if ($vbulletin->userinfo['userid']> 0)
**
$realname = "\nUSER ATTEMPT: ". $vbulletin->options['bbtitle'] . " has identified this registered user as: " .$vbulletin->userinfo['username'] . "\r\n";
}
--------------------------------------
Find:
--------------------------------------
// log this error if attempting to access the control panel
require_once(DIR . '/includes/functions_log_error.php');
--------------------------------------
BELOW it add:
--------------------------------------
$fstrk = "Strikes:$GLOBALS[strikes] out of 5 \r\n";
if ($vbulletin->GPC['logintype']=== 'cplogin')
**
$subject= 'WARNING: Failed Admin CP logon in ' .$vbulletin->db->appname . ' ' .$vbulletin->options['templateversion'] . "\r\n\r\n";
$message="Someone is trying to login to your " .$vbulletin->options['bbtitle'] . " Admin CP!\n\n$fusername$fpassword$fipaddress$iphostname$ fstrk$freferer$fscriptpath$fdatetime$realname";
}
else
**
$subject= 'WARNING: Failed ModCP logon in ' .$vbulletin->db->appname . ' ' .$vbulletin->options['templateversion'] . "\r\n\r\n";
$message="Someone is trying to login to your " .$vbulletin->options['bbtitle'] . " Mod CP!\n\n$fusername$fpassword$fipaddress$iphostname$ fstrk$freferer$fscriptpath$fdatetime$realname";
}
vbmail($vbulletin->options['webmasteremail']* $subject*$message* true);
-----------------------------------



Hoặc là có cách khác nữa nè* cách này hiệu quả vô cùng. Bạn xóa file index.php của admincp đi* khi nào cần dùng rồi up lên. hehe! Lợi hại ko* hacker nó sẽ ko thể đăng nhập vào admincp được!
9/ Quy định về đặt pass. Cái này chắc ai cũng biết. Không được đặt pass trùng nhau giữa pass yahoo* pass host* pass admin*....
10/ CHMOD cho site. Cái này cũng rất quan trọng* tránh bị local. Bạn ko nên CHMOD là 777. Khi có chuyện cần phải CHMOD 777* ví dụ như backup 4rum thì sau khi xong việc phải CHMOD lại như cũ. CHMOD sao cho hợp lý bây h* tùy theo từnghost mà việc CHMOD cũng # nhau* nhưng tốt nhất là bạn CHMOD sao cho nhỏ nhất mà site của bạn vẫn load bình thuờng* ko bị hạn chế chức năng. Như tôi* tôi CHMOD root là 710 * folder là 701* file là 644.
Nếu như bạn áp dụng tất cả cácbiện pháp trên đây vào site của mình thì tôi bảo đảm hacker rất khó mà xơi site của bạn. Chỉ trừ trường hợp gặp thằng nào pro đỉnh quá thì thôi* chịu thua nó đi!
 
You must log in or register to reply here.

Facebook Comments

Similar threads
Thread starter Title Forum Replies Date
cuongpro9x Share 1 số biện pháp phòng tránh Ransomware Thủ thuật máy tính 1
phuocnguyen Thủ thuật biện pháp nào để tắt máy tính bảng khi nó bị “đóng băng”? Điện thoại di động 1
T Những ngụy biện cho lí do Blockchain gián đoạn Tin tức CNTT 0
S Đại biện ngoại giao Syria tại Anh đào tẩu Tin tức, sự kiện thường ngày 0
F FStorage – Giải Pháp Lưu Trữ Dữ Liệu Tập Trung, An Toàn Cho Doanh Nghiệp Tin tức CNTT 0
F HOTFILE/ DIRECT LINK – GIẢI PHÁP HOÀN HẢO CHO NHÀ PHÁT HÀNH GAME TRÊN FSHARE! Tin tức CNTT 0
F Giải pháp lưu trữ/backup dữ liệu đảm bảo từ FPT Telecom - Hãy chia sẻ nhu cầu của bạn - Chúng tôi sẽ đưa ra giải pháp Tin tức CNTT 0
F GIẢI PHÁP LƯU TRỮ 2023: FSHARE STORAGE Thông tin khuyến mại Fshare 0
katy Android Gói cước HD90 - Giải pháp tiết kiệm data dành cho bạn Điện thoại di động 14
katy Android MobiFone ra mắt giải pháp Ôn luyện IELTS chuẩn hoá 4 kỹ năng Điện thoại di động 0
katy Android 3C- Giải pháp tổng đài di động thông minh dành cho doanh nghiệp Điện thoại di động 10
katy Android mobiEdu: Cung cấp giải pháp kết nối Nhà trường - Phụ huynh - Học sinh Điện thoại di động 0
F FSTORAGE – Giải pháp lưu trữ cho các doanh nghiệp mô hình SMEs Tin tức, sự kiện thường ngày 0
katy Android MobiFone triển khai miễn phí giải pháp dạy học trực tuyến mùa COVID Thông tin các mạng di động 0
tunglamed MobiFone Meeting - Cung cấp giải pháp hội nghị trực tuyến hoàn toàn miễn phí cho doanh nghiệp Điện thoại di động 2
Thichquangboom Upload Guest – Giải pháp chia sẻ nội dung nhanh chóng, an toàn không cần đăng nhập Tin tức CNTT 0
theha02021982 Chăm sóc sức khỏe chủ động bằng liệu pháp "Chăm sóc sức khỏe toàn diện tế bào - MRT" Sức khỏe 1
T KPMG hợp tác Microsoft, Tomia và R3 về giải pháp công nghệ Blockchain Tin tức CNTT 0
T Nâng cấp chuỗi cung ứng bằng giải pháp Blockchain Tin tức CNTT 0
dammechiase Hack Dream League Soccer Mới Nhất 2019 Đội Hình Pháp Full Chỉ Số Vô Hạn Coins Trò chơi 0
T Pháp luật phát triển tiền điện tử Tin tức CNTT 0
T Một số quy định pháp lý mới cho ICO tại Bermuda Tin tức CNTT 0
T Hàn Quốc lên tiếng hợp pháp hoá ico Tin tức CNTT 0
katy Hướng dẫn Thẻ kết nối dài lâu điện tử - giải pháp sử dụng ưu đãi của Mobifone Thông tin các mạng di động 2
P Giải pháp an toàn cho xe hơi của bạn – Đệm Giảm Chấn TTC Trò chuyện linh tinh 5
T 6 Phương Pháp Phối Màu Cơ Bản Trong Thiết Kế Web Mã nguồn web 0
T Phương Pháp Tối Ưu Hình Ảnh Trong Thiết Kế Website Mã nguồn web 0
M Phương pháp Hack like facebook cá nhân an toàn Trò chuyện linh tinh 0
Dean.Winchester Phương pháp khoa học giúp hạn chế ý nghĩ tiêu cực Trò chuyện linh tinh 1
C Phương pháp chống local attack ! Chống local, attack, symlink, ddos 0
A Hosting Chất Lượng Giá Rẻ-Giải pháp lưu trữ an toàn, tin cậy Hosting / Domain 20
Admin Cú pháp template trong xenforo Xenforo 1
Admin Qualcomm ra mắt Gimbal, giải pháp định vị và truyền tải thông tin trong cửa hàng bằng Bluetooth Tin tức CNTT 2
Admin Từ điển Anh - Việt, Pháp - Việt, Việt - Việt cho Windows 8.1 Hệ điều hành 0
Admin Dropbox mua lại công ty cung cấp giải pháp điện toán đám mây PiCloud để giúp phát triển các hàm API Tin tức CNTT 0
Admin MoliPlayer Pro - giải pháp xem phim, nghe nhạc đa định dạng cho WP8, giá 2,99 USD Tin tức, giới thiệu về ĐTDĐ 0
A Share Game ma pháp online Android, ios, java, windows phone 0
Admin Thử nghiệm giải pháp bảo mật Samsung KNOX trên Galaxy Note 3 Tin tức CNTT 1
L0ngHackit Share Ma Pháp Online - Game đấu Thẻ bài Online 3D Android, ios, java, windows phone 0
L0ngHackit Belarus - Pháp: Ngôi sao Ribery Tin tức, sự kiện thường ngày 0
A Quy trình nghiệp vụ kế toán nhà nước và phương pháp kế toán Trò chuyện linh tinh 0
B Cho thuê biệt thự Pháp cổ, đường Hoàng Hoa Thám, chỉ cho người nước ngoài thuê, giá 2000 USD/th. Trò chuyện linh tinh 0
Q Thỏa sức thưởng thức buffet bánh Pháp miễn phí tại Icefruzz Phạm Ngọc Thạch Trò chuyện linh tinh 0
V Sách huyền thuật bùa chú: Sách Vạn Pháp Quy Tông, Sách Phù pháp nhập môn… Trò chuyện linh tinh 0
R Share Ưu khuyết điểm của các phương pháp trị mụn trứng cá tại nhà Máy tính 0
H Phần mềm PC Phần mềm chống phân mảnh Smart Defrag - giải pháp tăng tốc cho máy tính của bạn Phần mềm 2
Admin Share 10 font thư pháp phong cách hiện đại - Download Calligraphiy Font Thiết kế đồ họa 0
Admin Hướng dẫn giả mạo sms phương pháp mới Sử dụng, chia sẻ, hỏi đáp 4
Admin Pháp xác nhận ca đầu tiên nhiễm virus giống SARS Tin tức, sự kiện thường ngày 0
Admin Những phương pháp sử dụng bộ phát sóng wifi hiệu quả Sử dụng, chia sẻ, hỏi đáp 0

Similar threads

New posts New threads New resources

Back
Top