10 cách bảo vệ ứng dụng forum invision board và vbulletin board

[..::Songuku95::..]

10 cách bảo vệ ứng dụng forum invision board và vbulletin board

Hiện nay Tin học ở Việt Nam chúng ta phát triển mạnh mẽ , Các Website cá nhân, các diễn đàn (forum) nhiều vô kể. Tất nhiên từ đó sinh ra các hacker hoặc là anh chàng mới chập chững vào nghề mò mẫm tìm các phiên bản còn lỗi của các ứng dụng Web như shopping Online, các loại forum viết bằng ngôn ngữ PHP :Trong đó phải kể đến sự hiện diện của hai loại forum phổ biến nhất có thể nói trên toàn thế giới là Invision Board Forum(IBF) và Vbulletin Board (VBB).
Với nội dung khá phong phú, đó có thể là một nơi trao đổi của học sinh các trường phổ thông hay một nhóm người, một tổ chức hacker ,…Có những forum chuyên về hacking và bảo mật, âm nhạc, giao lưu học hỏi, …nói chung là đa dạng và phong phú.
Nhưng bảo mật đang là vấn đề bức bách của mỗi website, làm sao để có thể chống lại sự tấn công , làm sao để yên tâm trước sự đe dọa của mũ đen tin học.
Bài viết này tôi hi vọng sẽ góp phần nào cho công việc bảo mật của các Webmaster với hai ứng dụng IBF và VBB.

1. Chống Hack Local:
Hack local là nổi ám ảnh của các diễn đàn, đây là phương pháp hack khá dễ và độ thành công của nó rất cao.
Hacker tấn công theo phương pháp trên bằng cách nào? Đầu tiên họ sẽ làm thế nào đó để có thể có một hosting trên cùng server với hosting của bạn( mua bằng thẻ tín dụng, hay mua bằng tiền mặt). Sau đó sẽ upload lên host của họ một con remview.php (script này do nhóm hacker Nga viết). Họ sẽ chạy script này trên IE ví dụ: http://xxx.com/remview.php ; với tác dụng của script này , nó có thể xem toàn bộ các user trên Server đó, thậm chí có thể xem nội dung từng file trong các user này. Đối với forum IBF thì hacker xem nội dung file conf_global.php và forum VBB thì xem nội dung file config.php trong thư mục Includes, đây là 2 file chưa các thông tin về cơ sở dữ liệu trong forum của bạn. Như vậy là họ biết các thông số về Cơ sở dữ liệu trong forum (user DB,PassDB , Dbname). Qua đây hacker có thể khai thác tài nguyên bằng cách chạy một forum cùng chung Database với forum của bạn, và có thể Drop (xóa) tất cả Dữ liệu trong forum bạn.
Để chống lại cách hack local bạn cần phải làm thế nào đó cho các hacker không thể xem được nội dung của những file chứa thông tin cơ sở dữ liệu. ChMod là một phương pháp tốt để chống nó. ChMod các thư mục các file trong thư mục Forum. ChMod là thay đổi thuộc tính của thư mục, file nó cho phép người khác có thể xem , đọc, sửa chửa các file của bạn hay không.
Đầu tiên ChMod thư mục Public_html thành 710 hoặc 711(nếu Server cho phép). Bạn Chmod tất cả các thư mục thành 755, tiếp theo sau đó đối với forum IBF thì Chmod file conf_global.php và đối với forum VBB thì chmod file config.php thành 644. Như vậy hacker không thể xem nội dung 2 file quan trọng trên.
Thêm một phương pháp nữa là bạn mã hóa (Zencode) nội dung cả hai file trên. Phương pháp này rất an toàn nhưng có hạn chế là nếu bạn quên các thông tin về cơ sở dữ liệu thì không thể nào lấy lại được , có thể tham khảo tại http://zencode.com

2. Đổi tên , xóa các thư mục, dùng file robots.txt:
Các chương trình Scan Web có thể xem cấu trúc website của bạn, nhằm chống và hạn chế thì bạn có thể tham khảo các cách sau:
Đối với Forum VBB thì bạn tiến hành đổi tên thư mục AdminCP, ModCP trong file config.php. Bạn tìm và thay thế hai từ trên thành tên bất kì. Sau đó sẽ đổi tên cả hai thư mục đó thành tên mà bạn đã đổi trong file config.php
Xóa các thư mục: Đối với hai loại forum trên thì bạn nên xóa thư mục install khi đã cài đặt xong.
Xóa file: Nếu bạn đang sử dụng forum IBF phiên bản 1.3 thì xóa file: ssi.php và vì hacker có thể chiếm đoạt quyền Admin thông qua file ssi.php
Dùng file robots.txt: cách viết và sử dụng file này đã đăng trên nhiều số báo của Echip, bạn có thể xem lại

3. Không nên cập nhật ngay các phiên bản mới nhất:
Bởi các nhà viết Source không nhận ra các lỗi trong phiên bản này nên bạn cần lưu ý, trong quá trình sử dụng nên chọn phiên bản đã bảo mật tốt, không bị các lỗi để hacker khai thác. Sau khi họ đã cập nhật cách sửa lỗi thì lúc đó bạn Upgrade lên cũng chưa muộn.

4. Không nên hack quá nhiều Mod:
Đối với hai loại Forum phổ biến trên thì cập nhật thêm các công dụng rất nhiều, cũng chính trong quá trình đó phát sinh ra nhiều lỗi kĩ thuật (bug), bạn chỉ nên cập nhật các Mod cần thiết cho forum của mình.

5. Chống flood cho diễn đàn :
Ở hai loại forum này đã có các chế độ chống flood. Bắt buộc phải xác nhận ảnh (gồm chuổi chữ, số khi đăng kí. Định thời gian log out. Vì vậy bạn nên Enable các chức năng này trong Admin Control Panel .

6. Không cho sử dụng một số từ trong bài viết của thành viên:
Bạn nên bỏ chức năng sử dụng tag (thẻ html trong bài viết vì qua đây có thể lấy được ****** của thành viên khác.
Loại bỏ một số từ, kí tự: “,” , “;”, “//”, “/”.

7. Xóa ****** lần nữa khi đã logout:
Mặc dù cả hai loại forum trên đã có chế độ tự động xóa ****** mỗi khi thành viên log out nhưng nó thường xuyên bị lỗi, do vậy sau khi đã logout tốt nhất bạn nên vào Internet Option sau đó chọn Delete ******.

8. Gỡ bỏ chương trình Upload bằng FTP:
Một số chương trình sẽ lưu lại Username và mật khẩu của bạn nên sau khi đã hoàn thành Upload các file cần thiết lên thư mục nào đó trong forum bạn nên gỡ bỏ các chương trình này, vào Add/Remove Program để thực hiện chức năng này

9. Đặt file index.html hoặc file .htpasswd trong thư mục dành riêng cho nhóm người nào đó:
Đây là phương pháp ngăn không cho mọi người có thể tự động khai thác tài nguyên một cách vô tư , đồ “quý hiếm” dành cho một nhóm người nào đó trong Diễn đàn.
Bạn có thể tạo một file index.html với nội dung bất kì hoặc để trống , sau đó upload lên thư mục cần bảo mật.
Thứ hai là có thể đặt file .htpasswd với mật khẩu chỉ dành riêng cho nhóm người đó trong thư mục cần bảo mật.
Như trang này chúng ta có thể xem các công cụ hack của họ một cách thoải mái:
hack vang game volam2 ho at tuoitrehue.net

10. Thường xuyên vào các Website Bảo mật để xem thêm thông tin và cách khắc phục các lỗi cho Diễn đàn của mình.
Trên Internet có nhiều forum chuyên về bảo mật cho lỗi của hai loại forum trên, đây là một số trang bạn có thể tham khảo:
vBulletin - Instant Community ; vBulletin.org Forum - The Official vBulletin Resource! ; Invision Power Services :: Community :: Board :: Home ; H V A O n l i n e

Trên đây là một số cách cơ bản để phát triển, bảo mật dành cho Webmaster, tuy chưa được đầy đủ nhưng tôi hi vọng cộng với kinh nghiệm của chính bản thân, các bạn sẽ làm tốt nhiệm vụ quan trọng của một ông chủ diễn đàn .

(sưu tầm)


Vậy hacker tấn công vbb hay Forum của chúng ta thế nào.????????????

1. Bẫy lỗi. với các exploit như trên, hacker có thể kiểm soát được diễn đàn. Nhưng lỗi này mấy khi có, may ra phải chờ cơ hội..
2. Do chính mình, Bạn có thể CHMODS (phân quyền truy cập, thay đổi ) File, thư mục chưa đúng, có ai điên đi CHMODS thư mục Public_html là 777 không hả bà con.
hacker có thể local từ một host" hàng xóm" của bạn.
3. Cho mượn acc admin, hi hi, cái này hiếm nhưng không phải không có.
4. Lộ mail. tui đi hack mail người ta, híc , nhiều mail toàn pass host, domain, admin... không biết tôi phải làm gì????

Bảo vệ, phòng chống
1. Khi hacker local được host bạn, việc đầu tiên, đi tìm file config ( cấu hính) chứa các connect tới DB, bình thường các GÀ nhà ta để pass DB trùng với pass HOST, điện thiệt, login được là song đời nó luôn.
khi view file config ( includes/config.php) sẽ thấy
Trích dẫn:
$config['Database']['dbname'] = 'dataname';
$config['MasterServer']['username'] = 'userdataname';
$config['MasterServer']['password'] = 'pass';

Đơn giản dùng một con shell c99, r57 đều có thể connect tới data, nếu hảo tân thì thay pass admin nghich chút, thâm ra thì DROP mẹ nó luôn cho song chuyện...
vậy bạn làm gì, tất nhiên làm sao không để hacker đọc được connect này, vậy thì mã hóa file đi. có chương trình trên diễn đàn rồi. Tuy nhiên tôi cũng phải nói, một số chương trình ENCODE (mã hóa ) đã bị hacker DECODE ( giải mã ), chỗ này miễn bình luận, nên bạn tốt hơn hết kiếm bộ ENCODE nào độc một chút.
2. Hacker còn có thể GET root server bạn, tuy nhiên cái này cũng khó đòi hỏi 2 yếu tố: 1. là trình hacker, 2. là bên server config có ngu không, nếu mà ngu quá, bạn nên chuyển server đi là vừa..
get root được thì híc, híc, toi công bạn làm diễn đàn rôi. Cái này, bạn không thể tự khắc phục lỗi này mà phải bảo bọn bán host cho bạn, nó không giải quyết được thì hỏi thằng cao hơn...
3. CHMODS lại tất cả các thư mục, tối ưu hóa thư mục cho phép ghi, càng nhiều càng hại bạn. CHMODS 710, 711, 755 tùy vào cấu hính server, thằng nào CHMODS là 777 khỏi phải đọc bài viết này.
4...5...6... kakalong vẫn còn đi học, chưa nắm hết được.
tuy nhiên làm 3 cách trên, cũng đủ bạn chống lại mấy thằng NEWBILE rồi, còn mấy cao thủ, híc cách duy nhất là đừng gây hấn với họ làm gì..... khì khì.

Góp chút ý kiến luôn. Với 4rum VBB thì bạn nên chmod như sau:
+ thư mục root là : 710 .
+ thư mục là 701 , và file là 644.
Nếu chmod như trên mà vbb ko hiển thị đúng chức năng của từng mod thì bạn có thể chmod cao hơn.
Khi có việc cần chmod 777 (backup 4rum chẳng hạn)thì sau khi xong việc bạn phải chmod lại.

Sưu tầm và tổng hợp!