fara_server
April 5th, 2012, 21:11
با درود فراوان...
مطلب بسیار مفیدی را در انجمن "وی بی ایران" مطالعه میکردم و دیدم خالی از لطف نیست اگر این آموزشها و نکات امنیتی را برای دوستانم در وب هاستینگ تالک قرار دهم.
آنچه میخوانید مطلبی است که کاربر Mr.Ramin (http://www.vbiran.ir/members/mr.ramin/) در انجمن Vbiran ارسال نموده است.
-----------------------------------------------------------------------------------
درود .
در این تاپیک به یک سری الگریتم هایی که هکر های , برای نفوذ به هسته ویبولتین استفاده میکنن ( و در نهایت دیفیس ) خواهیم پرداخت و راه های جلوگیری از این گونه هک شدن هارا به صورت چکیده و مختصر بیان میکنیم .
این مقاله بصورت اختصاصی توسط وی بی ایران , به صورت کاملا فارسی , برای اولین بار منتشر می شود .
1. هاستینگ
انتخاب هاستینگ مناسب , مهم ترین نکته امنیتی هست که وبمستر ها باید مد نظر داشته باشند .
متاسفانه بدلیل امکان Root شدن به سرور ( بالا ترین حد دسترسی به سرور ) از طریق دستور هایی درون شل ها , حتی الامکان از سرور مجازس استفاده کنید .
در اسنجا برخی از هاستینگ های معتبر و ایمین , رو برای دوستان قرار میدهم :
hostdl.com poshtiban.com bluehost.ir ashiyanehost.com
پس توجه کنید اولین قدم برای امن کردن سایت , انتخاب یک هاستینگ امن هست .
2.جلوگیری از دسترسی افراد بیگانه به admincp و modcp
یکی دیگر از را های نفوظ به ویبولتین , آپلود شل xml از قسمت محصولات ویبولتین هست .
آدرس این گونه شل ها غالبا به این صورت خواهند بود : admincp/subscriptions.php
درصورت مشاهده صفحه غیر معمول , آن را سریعاً حذف کنید .
و اما راه های جلو گیری از دسترسی افراد بیگانه به admincp :
الفـــ) پسورد گذاری روی فولدر هایadmincp و modcp :
1- در پنل هاست خود لاگین کنید .
2- وارد فایل منیجر شود و روی فولدر admicp راست کلیک کنید
3- گزینه password protect را کلیک کنید
4- در صفحه باز شده یوزر و پسوردی را مشخص کنید (برای امنیت بهتر پسورد خود را متفاوت با پسورد مدیریت وی بی انتخاب کنید)
http://neghab.byethost6.com/out.php/i256_untitled.PNG
حال میبینید از این پس برای ورود به آدرس www.your-site.com/admicp (http://www.your-site.com/admicp) غیر از یوزر و پسورد مدیریت یک یوزر و پسورد جداگانه از شما میخواهد که همانی است که در مراحل بالا تنظیم کردید
http://neghab.byethost6.com/out.php/i257_untitled.PNG
برای فولدر modcp هم طبق روش بالا عمل کنید
دقت داشته باشید روی تمام فولدر ها نباید پسورد بگذارید و گرنه سایت شما بارگزاری نخواهد شد تنها admincp و modcp کافی خواهد بود.admincp و modcp
بـــ) تغییر مسیر فولدر های admincp و modcp :
به هاست خود بروید --> includes --> فایل config.php را باز کنید.
در خط 88 و 89 دنبال این کد بگردید :
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
حالا admincp را به اسم مورد نظر تغییر بدید مثلاً style
و modcp رو به اسم مورد نظرتون تغییر بدید مثلاً plugin
حالا در هاست خودتون admincp را rename کنید به style
و modcp را به plugin تغییر بدید.
جـــ) محدود کردن admincp فقط به ای پی خودتان :
برای این منظور به پوشه Admin و یا Modcp خود در پنل مدیریت هاست خود وارد شوید .
یک فایل .htaccess بسازید .
آن را ویرایش کنید .
درون آن وارد کنید :
deny from all allow from ip
بجای ip باید ip اینترنت ( ISP ) خود و یا مدیرانتون رو وارد کنید .
برای اطلاع از آی پی خود به این سایت مراجعه کنید :
http://www.whatismyip.com/
مثلاً اگر در این صفحه دیدید :
Your Ip Adress Is : 10.30.4.5
باید به این صورت در .htaccess خود وارد کنید :
deny from all allow from 10.30.4.5
اگر آی پی اینترنت شما در یک رنج خاصی تغییر میکند میتوانید به این صورت وارد کنید :
deny from all
allow from 10.30.*
برای وارد کردن چند آیپی باید allow from ها را زیر هم وارد کنید مثلاً :
deny from all allow from 1.1.1.1 allow from 2.2.2.2 allow from 3.3.3.3
3. خواندن اطلاعات فایل کانفیک config.php و اتصال به دیتابیس ...
هکر زمانی که بتواند به هاست شما دسترسی پیدا کند , فایل config.php رو میخواند و تمام اطلاعات دیتابیس رو استخراج میکند . بقیه داستان با خودتون ...
و اما راه های مقابله :
الفــ) تغییر مسیر config.php :
به مسیر زیر برید
includes/class_core.php
سرچ کنید : config.php
حال ادرس های یافت شده رو به محل دلخواه تغییر دهید .
البتدا باید از config.php یک کپی به اسم مد نظر بگیرید و با به اسم مد نظر تغییر نام بدید .
فایل حتما باید در پوشه includes باشد .
دنهایتاً در کانفیگ قبلی اطلاعات غلط وارد کنید .
بـــ)کد کردم فایل های config.php و class_core.php توسط نرم افزار ها :
این روش توضیح خاصی نداره ! فقط از آموزش و برنامه زیر استفاده کنید :
http://www.p30vel.ir/5058-php-obfuscator-v101-php.html (http://www.p30vel.ir/5058-php-obfuscator-v101-php.html)
و فایل های config.php و class_core.php در پوشه includes را کد کنید .
جــــ) کاهش دسترسی فایل config.php :
دسترسی فایل config.php را روی 0444 تنظیم کنید .
_______________
تبریک عرض میکنم .
شما تقریبا 60% سایتتون رو از قبل , ایمن تر کردید .
چند نکته که باید خدمتتون عارض شوم :
همیشه به آخرین نسخه Final آپدیت باشدی .
درصورت استفاده از وی بی نال شده از گروه DGT استفاده کنید .
همیشه از پچ های امنیتی استفاده کنید .
پسورد محکم فراموش نشود .
در نهایت تشکر از شما که این مقاله رو مطالعه کردید .
موفق باشید .
مطلب بسیار مفیدی را در انجمن "وی بی ایران" مطالعه میکردم و دیدم خالی از لطف نیست اگر این آموزشها و نکات امنیتی را برای دوستانم در وب هاستینگ تالک قرار دهم.
آنچه میخوانید مطلبی است که کاربر Mr.Ramin (http://www.vbiran.ir/members/mr.ramin/) در انجمن Vbiran ارسال نموده است.
-----------------------------------------------------------------------------------
درود .
در این تاپیک به یک سری الگریتم هایی که هکر های , برای نفوذ به هسته ویبولتین استفاده میکنن ( و در نهایت دیفیس ) خواهیم پرداخت و راه های جلوگیری از این گونه هک شدن هارا به صورت چکیده و مختصر بیان میکنیم .
این مقاله بصورت اختصاصی توسط وی بی ایران , به صورت کاملا فارسی , برای اولین بار منتشر می شود .
1. هاستینگ
انتخاب هاستینگ مناسب , مهم ترین نکته امنیتی هست که وبمستر ها باید مد نظر داشته باشند .
متاسفانه بدلیل امکان Root شدن به سرور ( بالا ترین حد دسترسی به سرور ) از طریق دستور هایی درون شل ها , حتی الامکان از سرور مجازس استفاده کنید .
در اسنجا برخی از هاستینگ های معتبر و ایمین , رو برای دوستان قرار میدهم :
hostdl.com poshtiban.com bluehost.ir ashiyanehost.com
پس توجه کنید اولین قدم برای امن کردن سایت , انتخاب یک هاستینگ امن هست .
2.جلوگیری از دسترسی افراد بیگانه به admincp و modcp
یکی دیگر از را های نفوظ به ویبولتین , آپلود شل xml از قسمت محصولات ویبولتین هست .
آدرس این گونه شل ها غالبا به این صورت خواهند بود : admincp/subscriptions.php
درصورت مشاهده صفحه غیر معمول , آن را سریعاً حذف کنید .
و اما راه های جلو گیری از دسترسی افراد بیگانه به admincp :
الفـــ) پسورد گذاری روی فولدر هایadmincp و modcp :
1- در پنل هاست خود لاگین کنید .
2- وارد فایل منیجر شود و روی فولدر admicp راست کلیک کنید
3- گزینه password protect را کلیک کنید
4- در صفحه باز شده یوزر و پسوردی را مشخص کنید (برای امنیت بهتر پسورد خود را متفاوت با پسورد مدیریت وی بی انتخاب کنید)
http://neghab.byethost6.com/out.php/i256_untitled.PNG
حال میبینید از این پس برای ورود به آدرس www.your-site.com/admicp (http://www.your-site.com/admicp) غیر از یوزر و پسورد مدیریت یک یوزر و پسورد جداگانه از شما میخواهد که همانی است که در مراحل بالا تنظیم کردید
http://neghab.byethost6.com/out.php/i257_untitled.PNG
برای فولدر modcp هم طبق روش بالا عمل کنید
دقت داشته باشید روی تمام فولدر ها نباید پسورد بگذارید و گرنه سایت شما بارگزاری نخواهد شد تنها admincp و modcp کافی خواهد بود.admincp و modcp
بـــ) تغییر مسیر فولدر های admincp و modcp :
به هاست خود بروید --> includes --> فایل config.php را باز کنید.
در خط 88 و 89 دنبال این کد بگردید :
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
حالا admincp را به اسم مورد نظر تغییر بدید مثلاً style
و modcp رو به اسم مورد نظرتون تغییر بدید مثلاً plugin
حالا در هاست خودتون admincp را rename کنید به style
و modcp را به plugin تغییر بدید.
جـــ) محدود کردن admincp فقط به ای پی خودتان :
برای این منظور به پوشه Admin و یا Modcp خود در پنل مدیریت هاست خود وارد شوید .
یک فایل .htaccess بسازید .
آن را ویرایش کنید .
درون آن وارد کنید :
deny from all allow from ip
بجای ip باید ip اینترنت ( ISP ) خود و یا مدیرانتون رو وارد کنید .
برای اطلاع از آی پی خود به این سایت مراجعه کنید :
http://www.whatismyip.com/
مثلاً اگر در این صفحه دیدید :
Your Ip Adress Is : 10.30.4.5
باید به این صورت در .htaccess خود وارد کنید :
deny from all allow from 10.30.4.5
اگر آی پی اینترنت شما در یک رنج خاصی تغییر میکند میتوانید به این صورت وارد کنید :
deny from all
allow from 10.30.*
برای وارد کردن چند آیپی باید allow from ها را زیر هم وارد کنید مثلاً :
deny from all allow from 1.1.1.1 allow from 2.2.2.2 allow from 3.3.3.3
3. خواندن اطلاعات فایل کانفیک config.php و اتصال به دیتابیس ...
هکر زمانی که بتواند به هاست شما دسترسی پیدا کند , فایل config.php رو میخواند و تمام اطلاعات دیتابیس رو استخراج میکند . بقیه داستان با خودتون ...
و اما راه های مقابله :
الفــ) تغییر مسیر config.php :
به مسیر زیر برید
includes/class_core.php
سرچ کنید : config.php
حال ادرس های یافت شده رو به محل دلخواه تغییر دهید .
البتدا باید از config.php یک کپی به اسم مد نظر بگیرید و با به اسم مد نظر تغییر نام بدید .
فایل حتما باید در پوشه includes باشد .
دنهایتاً در کانفیگ قبلی اطلاعات غلط وارد کنید .
بـــ)کد کردم فایل های config.php و class_core.php توسط نرم افزار ها :
این روش توضیح خاصی نداره ! فقط از آموزش و برنامه زیر استفاده کنید :
http://www.p30vel.ir/5058-php-obfuscator-v101-php.html (http://www.p30vel.ir/5058-php-obfuscator-v101-php.html)
و فایل های config.php و class_core.php در پوشه includes را کد کنید .
جــــ) کاهش دسترسی فایل config.php :
دسترسی فایل config.php را روی 0444 تنظیم کنید .
_______________
تبریک عرض میکنم .
شما تقریبا 60% سایتتون رو از قبل , ایمن تر کردید .
چند نکته که باید خدمتتون عارض شوم :
همیشه به آخرین نسخه Final آپدیت باشدی .
درصورت استفاده از وی بی نال شده از گروه DGT استفاده کنید .
همیشه از پچ های امنیتی استفاده کنید .
پسورد محکم فراموش نشود .
در نهایت تشکر از شما که این مقاله رو مطالعه کردید .
موفق باشید .