English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hỏi về bảo mật cho forum VBB  XML
  [Question]   Hỏi về bảo mật cho forum VBB 04/03/2012 05:04:39 (+0700) | #1 | 256797
havuanhle
Member
[Minus]    0    [Plus]
Joined: 27/03/2011 01:32:03
Messages: 4
Offline
[Profile] [PM]
Về vấn đề này đã có một bài viết về cái này, nhưng mọi người viết lan man quá, em là newbie nên không lĩnh hội được. Phải tường tận cụ thể em mới biết được. Mong các bác tận tình chỉ bảo.
* Thứ nhất là về file config.php
Em đã đổi tên thư mục admincp và modcp trong file config cũng như tên thư mục thật. Nhưng em không rõ lắm về "Nên chèn các ký tự dạng @,_,# vào tên các thư mục này khi đổi tên", cụ thể nó như thế nào?
Còn việc giấu file config, em đổi tên nó, chưa thử đưa nó qua thư mục khác. Mở 2 file diagnostic.php trong thư mục admincp ( đã được đổi tên) và file class_core.php trong thư mục includes, dùng chức năng thay thế em replaceall từ config.php sang tên em đã đổi. Kết quả khi chạy /install/install.php nó báo lỗi thế này:
Startup Errors
Due to the following errors, the install/upgrade can not continue:

We were unable to locate the 'includes/config.php' file, please confirm that this file exists.

Không biết em còn thiếu sót chỗ nào nữa.
* Thứ 2 là về CHMOD.
Trên các diễn đang mạng có chỗ viết thế này, có chỗ viết thế kia.
Em mạn phép hỏi các bác cho chắc ăn smilie Thứ nhất là thư mục puplic_html, thứ 2 là 2 thư mục quan trọng admincp và modcp, thứ 3 là thư mục chứa file config (Nhân tiện cho em hỏi có phải đặt file này ở bất cứ thư mục nào cũng được hay không), thứ 4 là các tập tin còn lại nằm ở thư mục gốc (Không biết các tập tin nằm trong thư mục con thì sao smilie)
* Thứ 3: Cái này em chưa biết, ai có thêm kinh nghiệm bảo mật cho VBB chống local chỉ em với. Em cảm ơn nhiều ạ smilie
[Up] [Print Copy]
  [Question]   Hỏi về bảo mật cho forum VBB 02/05/2012 21:57:42 (+0700) | #2 | 262330
winkevin
Member
[Minus]    0    [Plus]
Joined: 15/06/2011 05:16:08
Messages: 2
Location: Viet Nam
Offline
[Profile] [PM] [Yahoo!]
e cũng đang thắc mắc vấn đề này. mong các bác giúp với
CC
[Up] [Print Copy]
  [Question]   Hỏi về bảo mật cho forum VBB 02/05/2012 22:19:25 (+0700) | #3 | 262332
chimung
Member
[Minus]    0    [Plus]
Joined: 23/10/2008 22:23:45
Messages: 24
Offline
[Profile] [PM]
Giống như bạn, mình cũng mới biết 2 cách để làm file config.php an toàm smilie :
+Việc một số 4r có trình bày việc thêm # vào tên file config.php thực ra là làm cho attacker ko có khả năng đọc file config bằng brower. VD: nếu bạn gõ địa chỉ "http://site.com/abc/config#.php" thì brower sẽ load "http://site.com/abc/config" --> gây lỗi. Tuy nhiên việc include('./abc/config#.php') vẫn ok --> site bạn đọc config bình thường
+Theo mình nghĩ thì việc dẫn tới error kia là do bạn đổi tên file config.php nhưng bạn cũng chưa khai báo trong file class_core.php smilie

Vấn đề 2 là chmod:
Chủ yếu attacker vn smilie tấn công vào vbb đều phải tìm file config của vbb. Nên bạn cứ bảo mật chắc file config là okie. Còn chmod ra sao thì còn dựa vào server config thế nào nữa. Vì vậy ko dám múa rìu qua mắt thợ.hehe. Mong các "thợ" vào cho ý kiến
Thân
[Up] [Print Copy]
  [Question]   Hỏi về bảo mật cho forum VBB 02/05/2012 22:27:20 (+0700) | #4 | 262333
winkevin
Member
[Minus]    0    [Plus]
Joined: 15/06/2011 05:16:08
Messages: 2
Location: Viet Nam
Offline
[Profile] [PM] [Yahoo!]

chimung wrote:
Giống như bạn, mình cũng mới biết 2 cách để làm file config.php an toàm smilie :
+Việc một số 4r có trình bày việc thêm # vào tên file config.php thực ra là làm cho attacker ko có khả năng đọc file config bằng brower. VD: nếu bạn gõ địa chỉ "http://site.com/abc/config#.php" thì brower sẽ load "http://site.com/abc/config" --> gây lỗi. Tuy nhiên việc include('./abc/config#.php') vẫn ok --> site bạn đọc config bình thường
+Theo mình nghĩ thì việc dẫn tới error kia là do bạn đổi tên file config.php nhưng bạn cũng chưa khai báo trong file class_core.php smilie

Vấn đề 2 là chmod:
Chủ yếu attacker vn smilie tấn công vào vbb đều phải tìm file config của vbb. Nên bạn cứ bảo mật chắc file config là okie. Còn chmod ra sao thì còn dựa vào server config thế nào nữa. Vì vậy ko dám múa rìu qua mắt thợ.hehe. Mong các "thợ" vào cho ý kiến
Thân 

e đã đổi tên file config,chuyển đến folder khác và chmod file config thành 400. ko biết nhử thế đã ổn chưa smilie.mong các pro chỉ thêm
CC
[Up] [Print Copy]
  [Question]   Hỏi về bảo mật cho forum VBB 02/05/2012 22:36:49 (+0700) | #5 | 262336
chimung
Member
[Minus]    0    [Plus]
Joined: 23/10/2008 22:23:45
Messages: 24
Offline
[Profile] [PM]
Về việc chmod 400 thế kia ko phải là giải pháp hay. Vì nếu apache của bạn chạy trên quyền "apache" chứ ko phải user thì liệu hàm include('./config.php') có chạy dc ko? Chắc chắn là ko smilie
P/s: Những từ ngữ trên do e hiểu thế nào thì nói nên ai biết sai ở đâu thì cứ góp ý nhá . tks
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|