• Downloading from our site will require you to have a paid membership. Upgrade to a Premium Membership from 10$ a month today!

    Dont forget read our Rules! Also anyone caught Sharing this content will be banned. By using this site you are agreeing to our rules so read them. Saying I did not know is simply not an excuse! You have been warned.

Hướng dẫn chi tiết cách bảo mật tối đa cho website/forum tránh 99% nguy cơ bị Local

Admin

Well-Known Member
Staff member
Administrator
Do tình hình đạo tặc ngày càng nhìu, số lượng anh em bị tấn công ngày tăng :D
->Viết cái tut hướng dẫn anh em bảo mật website tốt hơn. Nếu làm theo mình + server config tốt thì sẽ chắc chắn giảm đc 99% nguy cơ bị local attack


Ở đây mình nói là bảo mật cho website chứ ko phải là forum, tức là bạn hãy vận dụng những gì mình viết tiếp sau đây cho toàn bộ website của bạn, ko cần biết bạn đang dùng forum hay blog hay .....

Tuy nhiên, do số đông anh em đang xài forum vBulletin nên mình lấy mã nguồn vBulletin coi như làm mẫu.

Bây giờ chúng ta bắt đầu:
Mình sẽ nói sơ qua các bước ta sẽ tiến hành.

1. Thay đổi vị trí file chứa thông tin database (file config.php)
2. Thủ thuật bảo vệ file config.php
3. CHMOD bảo vệ các vùng nằm trong tầm ngắm của Attacker
4. Đổi vị trí AdminCP
5. Bảo vệ vùng AdminCP bằng htaccess
6. Cấu hình phân quyền user trên database
7. 1 số lời khuyên

Trước khi tiến hành các bạn hãy kiểm tra lại code của mình đã bị dính shell chưa, vì nếu dính rồi thì có làm cách mấy cũng có thể bị attack mà thôi

+ Vào admincp, vào mục Plugin manager xem có plugin nào lạ ko ? Nhất là các Plugin thuộc Product vBulletin
+ Xem thêm bài này: http://sinhvienit.net/@forum/showthread.php?t=4114
+ Down toàn bộ code về máy, dùng 1 trình antivirus mạnh quét qua code xem có phát hiện gì ko ?
Mình khuyên dùng Avira 10: http://dlpe.antivir.com/package/wks_avira/win32/en/pepr/avira_antivir_premium_en.exe
Đăng ký bản quyền: http://sinhvienit.net/@forum/showthread.php?t=21912


1 & 2. Thay đổi vị trí file chứa thông tin database (file config.php) & thủ thuật bảo vệ file này
*Lưu ý: Đối với các bạn dùng mod VbSEO thì ko nên làm việc thay đổi vị trí file config.php vì Vbseo có dùng tới file này. việc thay đổi sẽ gây lỗi. Và mình cũng khuyên ko nên dùng VBseo nếu các bạn xài shared host haty VPS vì nó cức kì tiêu tốn tài nguyên server

- Bạn tạo 1 thư mục ngang hàng thư mục includes với tên bất kỳ, thư mục này sẽ chứa file config.php sau này.
Tuy nhiên bạn lưu ý, thư mục mới này mình sẽ tạo tên có dấu # ở đầu. VD, mình tạo thư mục tên là
Code:
#skin
*Lưu ý: chỉ host linux mới làm đc việc này, còn host windows thì ko. Bạn hãy tạo thư mục này thông qua ftp

Tiếp theo,Bạn mở file includes/class_core.php

Tìm
PHP:
includes/config.php
thay bằng
PHP:
#skin/config.php
* Bạn sẽ tìm thấy 3 chỗ để thay (bao gồm 2 chỗ là code , 1 chỗ là chú thích)

Giải thích: Tên thư mục có dấu # ở đầu sẽ hạn chế đc rất nhiều nguy cơ attack, vì sao ?
Vì # là dấu phân cách địa chỉ đặc biệt, Ví dụ:
http://sinhvienit.net/test.php#cntt
-> trình duyệt sẽ chỉ gửi yêu cầu tới file http://sinhvienit.net/test.php và khi trang load xong nó sẽ cuộn thanh cuốn tới thẻ có ID là cntt

Như vậy nếu kẻ nào đó dùng shell đọc file config.php chằng hạn
Nếu theo cách bình thường thì nó sẽ gọi như sau:
Code:
http://victim/c99.php?act=f&f=config.php&d=/home/user/public_html/forum/#skin
ở đây mình ví dụ với shell c99 , như bạn thấy trong link trên dấu # đã phân cách chuỗi skin ra khỏi link
Vậy link trên sẽ tương đương link sau
Code:
http://victim/c99.php?act=f&f=config.php&d=/home/user/public_html/forum/
-> ko còn đúng nữa, -> ko đọc đc nội dung file config.php

3. CHMOD bảo vệ các vùng nằm trong tầm ngắm của Attacker

* Đối với các bạn dùng host cPanel, mình khuyên các bạn CHMOD 400 cho file #skin/config.php , includes/class_core.php
* Đối với các bạn dùng host DirectAdmin, mình khuyên các bạn CHMOD 004 cho file #skin/config.php , includes/class_core.php

Sau khi chmod cho 2 file này xong

* Đối với các bạn dùng host cPanel, mình khuyên các bạn CHMOD 100 cho thư mục #skin và includes
* Đối với các bạn dùng host DirectAdmin, mình khuyên các bạn CHMOD 001 cho thư mục #skin và includes

Đây là 2 mức thấp nhất có thể chấp nhận đối với host. Bạn sẽ ko CHMOD đc qua ftp mà phải CHMOD thông qua hosting controler (DirectAdmin,cPanel ..) Khi CHMOD như vậy chính các bạn cũng ko truy cập đc tới các file và thư mục này, do đó khi muốn chỉnh sửa thì các bạn hãy chmod lại như ban đầu (file 644, thư mục 755) mới đoc hay backup đc

4. Đổi vị trí AdminCP

Mở file config.php tìm dòng
PHP:
$config['Misc']['admincpdir'] = 'admincp';
Thay bằng
PHP:
$config['Misc']['admincpdir'] = 'style';
chẳng hạn

SAu đó bạn dùng vào host đổi thư mục admincp thành style

Vậy bây giờ để vào admincp bạn ko vào bằng domain.com/forum/admincp/ nữa mà là domain.com/forum/style/

5. Bảo vệ vùng AdminCP bằng htaccess
Cái này các bạn có thể tham khảo bài này:
http://sinhvienit.net/@forum/showthread.php?t=5497
Mình xin hướng dẫn lại đối với hosting DirectAdmin và cPanel

a. cPanel, các bạn login vào host tìm tới mục sau:
SinhVienIT.Net---Untitled-1.jpg


Bạn duyệt tới thư mục cần bảo vệ, Bạn click vào biểu tường folder để vào típ thư mục trong. Click vào tên thư mục để cấu hình. Ở đây mình click vào biểu tượng folder vì thư mục admincp nằm trong thư mục này
SinhVienIT.Net---Untitled-2.jpg


Click vào thư mục admincp để cấu hình bảo vệ
SinhVienIT.Net---Untitled-3.jpg




Nhập thông báo ở cửa sổ đăng nhập khi người dùng vào thư mục này
SinhVienIT.Net---Untitled-4.jpg



SinhVienIT.Net---Untitled-5.jpg


Cấu hình username và mật khẩu
SinhVienIT.Net---Untitled-6.jpg


a. DirectAdmin, các bạn login vào host tìm tới mục sau:
SinhVienIT.Net---Untitled-10.jpg




Duyệt tới nơi có thư mục cần bảo vệ
SinhVienIT.Net---Untitled-11.jpg


Cấu hình thông tin đăng nhập
SinhVienIT.Net---Untitled-12.jpg


1 thư mục có thể thêm nhiều user, muốn quản lý hoặc sửa mật khẩu bạn vào mục sau
SinhVienIT.Net---Untitled-9.jpg


Và đây là kết quả:
SinhVienIT.Net---Untitled-7.jpg

Nếu đăng nhập thất bại hoặc Bấm Cancel
SinhVienIT.Net---Untitled-8.jpg



6. Cấu hình phân quyền user trên database
Đối với các hệ quản trị CSDL, mỗi user đều được phân cho 1 quyền hạn cố định. Khi tạo user cho database thì ta cũng phải phân quyền cho nó, phân cho nó có những quyền gì trên database này.
Theo thông thường, các bạn thường cho full quyền. Song có 1 số quyền ta ít dùng tới nhưng lại đc Attacker lợi dụng để Drop database. Đó là quyền DROP.
Vì vậy để hạn chế nguy cơ database bị Drop sạch sẽ khi Attacker lấy đc thông tin tài khoản Database ta sẽ bỏ quyền này đi.
a. Đối với host cPanel
Khi Add user vào database các bạn chú ý chỗ này:
SinhVienIT.Net---Untitled-13.jpg

b. Đối với DirectAdmin
Bạn Login vào host tìm tới mục sau
SinhVienIT.Net---Untitled-14.jpg




Chọn Database
SinhVienIT.Net---Untitled-15.jpg



Bấm vào Modify Privileges để phân quyền
SinhVienIT.Net---Untitled-16.jpg



Bỏ quyền Drop đối với user
SinhVienIT.Net---Untitled-17.jpg


7. 1 số lời khuyên

+ Khi biết mình có nguy cơ tấn công, hãy nhanh chóng Backup toàn bộ database và các file trên host (Ưu tiên database trước)
Xem thêm các Backup data ko bị lỗi: http://sinhvienit.net/@forum/showthread.php?t=36677
+ Thường xuyên backup database, hãy backup ở mức thường xuyên nhất có thể
+ Luôn để 1 bản sao y chang trên host ở máy mình
+ Thường xuyên theo dõi website, log, bảng điều khiển xem có gì lạ bất thường ko
+ Hãy giữ Password thật kỹ, tránh để lộ pass và nên thay đổi pass ngay nếu cảm thấy mình có thể đã bị lộ. Nhất là pass email
+ Khi đổi vị trí file config.php bạn ko nên đi chuyển hẳn file config.hp mà hãy để lại includes 1 bản sao file config.php với thông tin database ko đúng. Nếu có thể hãy tạo 1 databse giả và cho vào file config này thông tin của database giả luôn.
+ Những biên pháp mình nêu bên trên chỉ là tương đối, 1 attacker có kiến thức thực sự sẽ biết các vượt qua những gì mình nói. Tuy nhiên, đại đa số các attacker deface nạn nhân đều là những bạn tuổi đời còn trẻ với khát vọng khám phá và thử nghiệm những gì mới biết, kiến thức nắm chưa thật sâu nên giúp bạn có thể an toàn :)
Database giả ở đây mình nói là database bạn tạo ra thật, có đầy đủ các table của code nhưng nội dung ít hoặc ko có, mình sẽ ko sử dụng database này. DO đó nếu attacker có nằm đc info database này cứ cho nó tự sướng với cái data ko có giá trị
Chân thành cảm ơn OSP Viet Nam đã hỗ trợ host cPanel và Beehost Vietnam đã hỗ trợ host DirectAdmin để mình hoàn thành Tutorial này

Bài viết được post duy nhất tại sinhvienit.net , vui lòng ghi rõ nguồn khi copy đi nơi khác
http://sinhvienit.net/@forum/showthread.php?t=41409
 

Facebook Comments

Similar threads
Thread starter Title Forum Replies Date
dammechiase Download Tải Office 2016 Full – Video hướng dẫn cài đặt chi tiết bản chuẩn nhất Phần mềm 0
dammechiase Tải bộ cài Office 2007 - Hướng dẫn cài đặt Office 2007 chi tiết Phần mềm 0
Admin Hướng dẫn tạo video karaoke đơn giản và chi tiết nhất 2019 Video, clip 4
dammechiase Dowload Tải phần mềm Endnote X9 mới nhất +Hướng dẫn chi tiết cài đặt bản chuẩn Phần mềm 0
dammechiase Hướng Dẫn Chi Tiết Cách Kiếm Tiền Từ Trang Upload Kiếm Tiền Hấp Dẫn Vipshare 2.5$/1000 lượt dowload Trò chơi 0
dammechiase Tải Dowload PES 2016 + Hướng dẫn cài đặt chi tiết Pes 2016 Việt Hóa thành công 100% Trò chơi 0
N Hướng dẫn khôi phục dữ liệu trên Windows 10 khi bấm shift+delete chi tiết và đơn giản Phần mềm 1
Admin [Fshare] Assassin’s Creed 1 và hướng dẫn cài đặt chi tiết Trò chơi 3
Tuzoro Hướng dẫn viết Mod (Plugin) cho VBB (chi tiết - dễ hiểu) Vbb tutorial 0
C Hướng dẫn Hướng dẫn chi tiết cách khắc phục lỗi kết nối bằng wifi của operamini Thủ thuật ĐTDĐ 3
A Xin hướng dẫn tạo forum xenforo chi tiết dễ hiểu Thảo luận wap việt 4
Admin Hướng dẫn chi tiết giải rubik theo cách đơn giản và Fridrich Sách, truyện, tài liệu 5
H Share Video Hướng Dẫn Chi Tiết Hack Băng Thông Mimax Viettel Thủ thuật ĐTDĐ 0
H Share Hướng dẫn càitheme effects all không cầnpatch c2z cực chi tiết bằnghình ảnh Symbian 0
H Android Hướng dẫn UpRom qua Clock Word Modcực chi tiết!!! Android, ios, java, windows phone 0
K Hướng dẫn chi tiết mod like facbook Johncms All Shared Scripts 0
H Hướng dẫn Hướng dẫn Hack Phone S40 Chi Tiết Đơn All Shared Scripts 0
Admin Hướng dẫn chi tiết tạo paypal bằng hình ảnh Thảo luận chung 1
Admin Share code khủng auto update tin tức + hướng dẫn cài đặt chi tiết Mã nguồn web 1
G : [b]Hướng dẫn chi tiết tạo logo[/b] Hình ảnh 0
B Hướng dẫn hack level, exp, shop game offline toàn tập chi tiết Crack, hack, mod, ghép game, ứng dụng 6
2 Thảo luận Mong A thắng hay congtu24, kidbloob và pro john trên host cp11 tạo top hướng dẫn chi tiết Johncms 10
Master_Thuan Hướng dẫn chi tiết sử dụng C99 CGI R57 Security - Local - Hacking 0
CamXucViet Hướng dẫn Ai hướng dẫn mình chi tiết sửa file config.php với! Vbulletin 14
H Võ lâm 3 2.4 + auto click made by Vdanh + hướng dẫn giải đáp chi tiết S40 0
B Share và hướng dẫn chi tiết mod like facbook JohnCMS Johncms 1
T xin tut hướng dẫn cài đặt vBSEO hay friend url chi tiết Vbulletin 5
Admin Hướng dẫn chi tiết cách nối dài file log auto game KPAH cả ngày Thủ thuật ĐTDĐ 0
Admin Hướng dẫn chi tiết cách cài một code php PHP 2
Admin Hướng dẫn chi tiết cách Unlock iPhone 4S bằng SAM Thủ thuật ĐTDĐ 0
N Hướng dẫn Việt Hóa ứ.dụng S60 chi tiết nhất kèm hình ảnh Góc thành viên học tập 2
Admin Hướng dẫn tạo logo team chi tiết từ a đến z Thủ thuật ĐTDĐ 17
Admin Hướng dẫn chi tiết cách cài vBSeo 3.60 RC2 Vbulletin 1
Admin Hướng dẫn sử dụng host kloxo chi tiết Hỏi đáp về domain & hosting 7
T Xin anh em wap hướng dẫn chi tiết Johncms 5
Admin Hướng dẫn DNS domain chi tiết nhất bằng hình ảnh Hỏi đáp về domain & hosting 2
Lang Tu Sau Cần hướng dẫn chi tiết làm 1 eblog. Blogger 77
Admin Hướng dẫn chi tiết cách thay đổi giao diện cho forum vbb Vbulletin 6
N Hướng dẫn chi tiết về javascript Wap builder, wapego, xtgem, wen.ru, wapka, wap4 8
katy Android Hướng dẫn đổi điểm KNDL và điểm tích lũy MobiFone lấy data Điện thoại di động 0
katy Android Hướng dẫn đổi điểm KNDL và điểm tích lũy MobiFone lấy data Điện thoại di động 0
katy Android Hướng dẫn đổi điểm KNDL và điểm tích lũy MobiFone lấy data Điện thoại di động 0
4gfree HƯỚNG DẪN BUG DATA NHÀ MẠNG MIỄN PHÍ Tin tức CNTT 0
katy Android Hướng dẫn thanh toán cước trả sau Mobifone nhận chiết khấu cao Điện thoại di động 10
vinhdlp Hướng dẫn Hướng dẫn cách ứng tiền mạng Viettel đơn giản cho thuê bao Mạng internet 0
cuongpro9x HƯỚNG DẪN - ĐĂNG KÝ TÀI KHOẢN NGÂN HÀNG MBBANK NGAY TẠI NHÀ Trò chuyện linh tinh 0
nutevnn Help Nhờ hướng dẫn fix html trong PHP PHP 0
F Hướng dẫn xây dựng rạp phim tại nhà với Kodi Tin khoa học, sản phẩm mới 1
huongbtph Hướng dẫn viết bài viết chuẩn Seo Hosting / Domain 0
V Hướng dẫn tạo logo giống Xenforo Xenforo 4

Similar threads

New posts New threads New resources

Back
Top