-
April 5th, 2012, 21:11
#1
عضو انجمن
امن سازی ویبولتین
با درود فراوان...
مطلب بسیار مفیدی را در انجمن "وی بی ایران" مطالعه میکردم و دیدم خالی از لطف نیست اگر این آموزشها و نکات امنیتی را برای دوستانم در وب هاستینگ تالک قرار دهم.
آنچه میخوانید مطلبی است که کاربر Mr.Ramin در انجمن Vbiran ارسال نموده است.
-----------------------------------------------------------------------------------
درود .
در این تاپیک به یک سری الگریتم هایی که هکر های , برای نفوذ به هسته ویبولتین استفاده میکنن ( و در نهایت دیفیس ) خواهیم پرداخت و راه های جلوگیری از این گونه هک شدن هارا به صورت چکیده و مختصر بیان میکنیم .
این مقاله بصورت اختصاصی توسط وی بی ایران , به صورت کاملا فارسی , برای اولین بار منتشر می شود .
1. هاستینگ
انتخاب هاستینگ مناسب , مهم ترین نکته امنیتی هست که وبمستر ها باید مد نظر داشته باشند .
متاسفانه بدلیل امکان Root شدن به سرور ( بالا ترین حد دسترسی به سرور ) از طریق دستور هایی درون شل ها , حتی الامکان از سرور مجازس استفاده کنید .
در اسنجا برخی از هاستینگ های معتبر و ایمین , رو برای دوستان قرار میدهم :
کد HTML:
hostdl.com poshtiban.com bluehost.ir ashiyanehost.com
پس توجه کنید اولین قدم برای امن کردن سایت , انتخاب یک هاستینگ امن هست .
2.جلوگیری از دسترسی افراد بیگانه به admincp و modcp
یکی دیگر از را های نفوظ به ویبولتین , آپلود شل xml از قسمت محصولات ویبولتین هست .
آدرس این گونه شل ها غالبا به این صورت خواهند بود : admincp/subscriptions.php
درصورت مشاهده صفحه غیر معمول , آن را سریعاً حذف کنید .
و اما راه های جلو گیری از دسترسی افراد بیگانه به admincp :
الفـــ) پسورد گذاری روی فولدر هایadmincp و modcp :
1- در پنل هاست خود لاگین کنید .
2- وارد فایل منیجر شود و روی فولدر admicp راست کلیک کنید
3- گزینه password protect را کلیک کنید
4- در صفحه باز شده یوزر و پسوردی را مشخص کنید (برای امنیت بهتر پسورد خود را متفاوت با پسورد مدیریت وی بی انتخاب کنید)
حال میبینید از این پس برای ورود به آدرس www.your-site.com/admicp غیر از یوزر و پسورد مدیریت یک یوزر و پسورد جداگانه از شما میخواهد که همانی است که در مراحل بالا تنظیم کردید
برای فولدر modcp هم طبق روش بالا عمل کنید
دقت داشته باشید روی تمام فولدر ها نباید پسورد بگذارید و گرنه سایت شما بارگزاری نخواهد شد تنها admincp و modcp کافی خواهد بود.admincp و modcp
بـــ) تغییر مسیر فولدر های admincp و modcp :
به هاست خود بروید --> includes --> فایل config.php را باز کنید.
در خط 88 و 89 دنبال این کد بگردید :
کد PHP:
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
حالا admincp را به اسم مورد نظر تغییر بدید مثلاً style
و modcp رو به اسم مورد نظرتون تغییر بدید مثلاً plugin
حالا در هاست خودتون admincp را rename کنید به style
و modcp را به plugin تغییر بدید.
جـــ) محدود کردن admincp فقط به ای پی خودتان :
برای این منظور به پوشه Admin و یا Modcp خود در پنل مدیریت هاست خود وارد شوید .
یک فایل .htaccess بسازید .
آن را ویرایش کنید .
درون آن وارد کنید :
کد HTML:
deny from all allow from ip
بجای ip باید ip اینترنت ( ISP ) خود و یا مدیرانتون رو وارد کنید .
برای اطلاع از آی پی خود به این سایت مراجعه کنید :
http://www.whatismyip.com/
مثلاً اگر در این صفحه دیدید :
کد HTML:
Your Ip Adress Is : 10.30.4.5
باید به این صورت در .htaccess خود وارد کنید :
کد HTML:
deny from all allow from 10.30.4.5
اگر آی پی اینترنت شما در یک رنج خاصی تغییر میکند میتوانید به این صورت وارد کنید :
کد HTML:
deny from all
allow from 10.30.*
برای وارد کردن چند آیپی باید allow from ها را زیر هم وارد کنید مثلاً :
کد HTML:
deny from all allow from 1.1.1.1 allow from 2.2.2.2 allow from 3.3.3.3
3. خواندن اطلاعات فایل کانفیک config.php و اتصال به دیتابیس ...
هکر زمانی که بتواند به هاست شما دسترسی پیدا کند , فایل config.php رو میخواند و تمام اطلاعات دیتابیس رو استخراج میکند . بقیه داستان با خودتون ...
و اما راه های مقابله :
الفــ) تغییر مسیر config.php :
به مسیر زیر برید
includes/class_core.php
سرچ کنید : config.php
حال ادرس های یافت شده رو به محل دلخواه تغییر دهید .
البتدا باید از config.php یک کپی به اسم مد نظر بگیرید و با به اسم مد نظر تغییر نام بدید .
فایل حتما باید در پوشه includes باشد .
دنهایتاً در کانفیگ قبلی اطلاعات غلط وارد کنید .
بـــ)کد کردم فایل های config.php و class_core.php توسط نرم افزار ها :
این روش توضیح خاصی نداره ! فقط از آموزش و برنامه زیر استفاده کنید :
http://www.p30vel.ir/5058-php-obfuscator-v101-php.html
و فایل های config.php و class_core.php در پوشه includes را کد کنید .
جــــ) کاهش دسترسی فایل config.php :
دسترسی فایل config.php را روی 0444 تنظیم کنید .
_______________
تبریک عرض میکنم .
شما تقریبا 60% سایتتون رو از قبل , ایمن تر کردید .
چند نکته که باید خدمتتون عارض شوم :
همیشه به آخرین نسخه Final آپدیت باشدی .
درصورت استفاده از وی بی نال شده از گروه DGT استفاده کنید .
همیشه از پچ های امنیتی استفاده کنید .
پسورد محکم فراموش نشود .
در نهایت تشکر از شما که این مقاله رو مطالعه کردید .
موفق باشید .
کانفیگ،امنیت بخشی و راه اندازی انواع سروها با هزینه مناسب | طراحی و برنامه نویسی تحت وب | جهت درخواست از
اینجا اقدام نمایید.
--==--==--==--
!Linux Geek
-
تعداد تشکر ها ازfara_server به دلیل پست مفید
-
April 5th, 2012 21:11
# ADS
-
عضو انجمن
پاسخ : امن سازی ویبولتین
من توصیه بسیار میکنم که کانفیگ رو بزارید روی 400 هیچ مشکلی هم پیش نمیاد و روی پوشه هم پسورد بزارید این بهترین کار هستش
روی پوشه ادمین هم پشورد بزارید
-
تعداد تشکر ها از sat98 به دلیل پست مفید
پاسخ با نقل قول