[Tut] bảo mật website chống local, att tốt cơ bản và nâng cao

[Admin]

-- Bắt đầu nào--
I. Kĩ thuật căn bản
1. Check Shell
Tất nhiên nếu bạn đang sử dụng 1 host 'ngon' thì công việc này sẽ được QTV host làm hàng ngày . Tuy nhiên, vẫn nên có 1 chút kĩ thuật chứ nhỉ ? Mình chỉ có 3 phương pháp thôi:
- Ngồi mò từng file một (làm theo pp này có mà điên nhở)
- Check shell trực tiếp trên host. Download code [này] và làm theo HD.
- Download hết code về máy tính và check bằng KIS, NIS,... cách này lâu nhưng an toàn nhất. Khi backup code, bạn có thể thực hiện luôn thao tác này. Rất tiện lợi phải không ? Hì.
2. Giấu thư mục root
Nếu để code ở public_html , www, htdocs chẳng phải các bạn đang để hết của cải của mình ở ngoài sân sao ? À tạo thêm vài folder nữa.
home/hocit/public_html/jin/da/tai/@4rum/ giấu thế đc chưa ? Thế mỗi lần mem vào forum lại phải nhập link rắc rối thê à ? Nếu nó vào được public thì lần theo dấu vết nó sẽ thấy @4rum ? Đó là cái hại của park domain mặc định. Sao bạn ko dùng chức năng add-on domain .khi add domain sẽ có chỗ để bạn nhập đường dẫn làm folder gốc của domain. Hacker sẽ lầm tưởng bạn đặt code ở public, hay nếu biết ý đồ của bạn cũng rất khó khăn cho hắn khi tìm cái đường dẫn phức tạp kia. Hehe.
3. Giấu file cấu hình
Khi hacker xâm nhập đc thì ta phải cho hắn 1 thử thách chứ nhỉ ? Giấu file cấu hình đi thì sao ? Tạo 1 thư mục có dấu # ở trước. Vd #jin (dấu # có thể ngăn cản con shell thực thi lệnh)
Bỏ file cấu hình vào đó. Edit lại link trong hàm include ở các file liên quan. Thường thì sẽ có 1 file include file cấu hình, còn các file khác sẽ include file đó. Bạn chỉ cần tìm ra nó và edit là ok. (tự tìm hiểu)
vd: đoạn mã sau

include 'config.php';

thì ta sửa config.php thành #jin/config.php

II. Nâng cao 1 chút
1. Chmod (phân quyền)
Làm theo đừng hỏi tại sao nhé.
a. ChMod public_html 501, lỗi thì nâng lên 701 or 710
b. Chmod tất cả folder 101 (trừ các folder code yêu cầu chmod 755,777) nếu ko đc thì nâng lên 701 . Chmod tất cả các file 404, nếu ko đc thì nâng lên 704.
c. Chmod file quan trọng: config.php , db.php , index.php thành 100, lỗi thì nâng lên 400.
Có thể dùng wapFTP chmod hàng loạt cho nhanh.
2. Bảo mật với php.ini và .htaccess
a. Tạo file php.ini với nội dung sau:

disable_functions = passthru, system, shell_exec, exec, dir, readfile, virtual, proc_terminate
safe-mode = on
display_errors = off
log_errors = on

(dis một số hàm, nâng safe-mode, ko cho phép thông báo lỗi khi code gặp sự cố, bật chức năng ghi lại lỗi - ở file error_log hay sao ý )
Chmod cho file này 444 và copy sang các thư mục như là admin, users,.. Tất nhiên, nó phải có ở thư mục root
b. - Nếu code hỗ trợ upload, hãy vào thư mục lưu trữ file, tạo .htaccess với nội dung:
php_admin_flag engine off , chmod 444.
- Một số thư mục code yêu cầu chmod 777 (rất nguy hiểm). Ko làm theo thì code lỗi. Ta cứ chmod như thế và tạo file .htaccess với nội dung:
AddHandler default-handler php
Options -ExecCGI -IncludesFile
thế là ổn.
III. Lưu ý
- Không dùng user/pass host làm u/p data viết vào config.
- Không cấp phép drop cho user data. Tránh TH nó ức nó drop hết data
- Check file lạ trước khi upload to host, tránh run file đc gửi từ email lạ.
- Cập nhật lỗi và update phiên bản thường xuyên
- Nhớ backup đều đặn nhé (biết rồi, khổ nắm, nói mãi)

Ai thấy hay thanks nhé

 

[Special_One]

Top này à ông thắng. . .

 

[Admin]

Chủ đề tương tự nữa

 

[Special_One]

Ừm, nghe thấy hợp lí đó
mà ông post thì bỏ QUOTE đi, gấy khó khăn trong việc copy code. . .

 

[Admin]

Bỏ quote lỗi hết dòng, chịu khó nhé

 

[Special_One]

Sao lại lỗi bỏ vào thẻ khác đi. . .
Mà sao cái forum vbb của tui kì lắm, mới làm cái 4rum vbb, k có pass, vào data edit email rùi, sau đó dùng chức năng quên mk mà nó cứ báo lỗi. . . Nản thật. . .

 

[Admin]

Sao lại lỗi bỏ vào thẻ khác đi. . .Mà sao cái forum vbb của tui kì lắm, mới làm cái 4rum vbb, k có pass, vào data edit email rùi, sau đó dùng chức năng quên mk mà nó cứ báo lỗi. . . Nản thật. . .

uh, đã hd fix lỗi đó trong box vbb nhé, search lại giúp m

 

[Special_One]

Báo
The answer given for the random question was incorrect trong khi nhập đúng là sao nhỉ?

----------> Bổ sung bài viết lúc 04:17 <----------> Bài viết trước lúc 04:17 <----------

1+1=? (Trả lời bằng chữ
và viết bằng tiếng việt
không dấu)

----------> Bổ sung bài viết lúc 04:19 <----------> Bài viết trước lúc 04:17 <----------

Muốn set lại home url mà chịu. . .

 

[Admin]

Vào humanveryfi chọn off nhé..,

 

[Special_One]

Ở đâu thế. . . . . .

 

[Admin]

Ở đâu thế. . . . . .

admincp/option nhé..

 

[Special_One]

Mới pem trưa xong,
mà lỗi này là lỗi gì thế ông thắng. . .

 

[Baby2xu]

http://giangho.me

 

[Admin]

.....Lỗi answer...

----------> Bổ sung bài viết lúc 13:16 <----------> Bài viết trước lúc 13:13 <----------

http://giangho.me

sao...baby2xu...

 

[Special_One]

Ông hd tdùng chức năng add-on domain đi, chưa dùng bgiờ. . .

 

[Admin]

Vào host chọn addon domain, nhập domain rồi create

 

[Special_One]

admincp/option nhé..

ôg xem lại chứ trong admincp làm gì có foder options

----------> Bổ sung bài viết lúc 05:36 <----------> Bài viết trước lúc 05:35 <----------

Vào host chọn addon domain, nhập domain rồi create

nó bắt nhập nhiều ô mà. . . . .

----------> Bổ sung bài viết lúc 05:38 <----------> Bài viết trước lúc 05:36 <----------

Vào humanveryfi chọn off nhé..,

chi tiết tí đi ông. . . . .

 

[Admin]

Admincp > Settings > Option Human Verify nhé

 

[Special_One]

Admincp > Settings > Option Human Verify nhé

ax, cha này, có pass admin đâu mà vào admincp, đang lấp pass admin mà. . . .

 

[Admin]

Không nhớ tôi đã hd fake login admincp à