Bản in cho chủ đề

Click vào đây để xem chủ đề như bình thường

VnVista Forum _ Invision Power Board modifications + skins _ Bảo mật diễn đàn - những mod thiết yếu!

Người gửi: Tacaza Sep 3 2005, 10:55 AM

Ở topic này Tacaza sẽ lần lượt giới thiệu những modification để tăng cường bảo mật cho diễn đàn của bạn. Tacaza sẽ cập nhật thêm những mod bảo mật mới ở đây, các bạn chú ý theo dõi nhé.

Đầu tiên, là mod giấu file admin.php:

Demo: http://vnvista.com/forums/admin.php <~~ đây chỉ là một trang trắng, một file php không có nội dung mình thay vào, còn file admin.php của ibf đã được đổi tên.

Cách làm:

Mở admin.php tìm:

CODE

$ibforums->base_url = $ibforums->vars['board_url']."/admin.".$ibforums->vars['php_ext'].'?adsess='.$ibforums->input['adsess'];

Thay bằng:

CODE

$ibforums->base_url = $ibforums->vars['board_url']."/".$ibforums->vars['admin'].".".$ibforums->vars['php_ext'].'?adsess='.$ibforums->input['adsess'];

Tìm tiếp trong admin.php:

CODE

$ibforums->html .= "<tr><td id='tdrow1'><meta http-equiv='refresh' content='2; url=".$ibforums->vars['board_url']."/admin.".$ibforums->vars['php_ext']."?printframes=1&adsess=".$ibforums->input['AD_SESS']."&{$extra_query}'><a href='".$ibforums->vars['board_url']."/admin.".$ibforums->vars['php_ext']."?printframes=1&adsess=".$ibforums->input['AD_SESS']."&{$extra_query}'>( Click here if you do not wish to wait )</a></td></tr>";

Thay bằng :

CODE

$ibforums->html .= "<tr><td id='tdrow1'><meta http-equiv='refresh' content='2; url=".$ibforums->vars['board_url']."/".$ibforums->vars['admin'].".".$ibforums->vars['php_ext']."?printframes=1&adsess=".$ibforums->input['AD_SESS']."&{$extra_query}'><a href='".$ibforums->vars['board_url']."/".$ibforums->vars['admin'].".".$ibforums->vars['php_ext']."?printframes=1&adsess=".$ibforums->input['AD_SESS']."&{$extra_query}'>( Click here if you do not wish to wait )</a></td></tr>";

Save, đóng admin.php và up lên host ...

Mở file skin_global.php tìm

CODE

if ( $ibforums->member['g_access_cp'] )
{
$IPBHTML .= <<<EOF
<b><a href='{$ibforums->vars['board_url']}/admin.{$ibforums->vars['php_ext']}' target='_blank'>{$ibforums->lang['admin_cp']}</a></b> ·
EOF;
}

Thay bằng:

CODE

if ( $ibforums->member['g_access_cp'] )
{
$IPBHTML .= <<<EOF
<b><a href='{$ibforums->vars['board_url']}/{$ibforums->vars['admin']}.{$ibforums->vars['php_ext']}' target='_blank'>{$ibforums->lang['admin_cp']}</a></b> ·
EOF;
}

Vào conf_global.php tìm:

CODE

$INFO['auth_group'] = '1';

Thêm bên dưới:

CODE

$INFO['admin'] = 'quantri';

Cuối cùng, bạn đổi tên file admin.php thành quantri.php. Đây chỉ là ví dụ. Bạn có thể đổi tên file này thành bất cứ tên gì bạn muốn, nhưng bạn phải đổi theo trong conf_global.php.

Thật đơn giản mà hiệu quả phải không bạn?

Người gửi: Tacaza Sep 3 2005, 11:11 AM

Mod Security Password cho ACP

Mở file admin.php (nếu bạn đã đổi tên file này thì hãy mở file đã đổi tên đó)

Tìm:

CODE

if ( empty($ibforums->input['password']) )
{
do_login("You must enter a password before proceeding");
}

Thêm vào bên dưới :

CODE

if ( empty($ibforums->input['ppassword']) )
{
do_login("You must also enter a security password before proceeding");
}

Tìm:

CODE

$ibforums->html .= $ibforums->adskin->add_td_row( array( "Your Forums Password:",
"<input type='password' style='width:100%' name='password' value=''>",
) );

Thêm vào bên dưới :

CODE

$ibforums->html .= $ibforums->adskin->add_td_row( array( "Your Security Password:",
"<input type='password' style='width:100%' name='ppassword' value=''>",
) );

Tìm tiếp:

CODE

$pass = md5( $ibforums->input['password'] );

Thêm bên dưới:

CODE

$ppas = md5( md5( $ibforums->input['ppassword'] ) );

Tìm:

CODE

if ( $ibforums->converge->converge_authenticate_member( $pass ) != TRUE )
{
do_login("The password you entered is not correct");
}

Thêm bên dưới:

QUOTE

else if ( $ppas != "c3284d0f94606de1fd2af172aba15bf3")
{
do_login("The password you entered is not correct");
}

Tạo mật mã:
Bạn vào http://vnvista.com/mahoa
Ở cuối trang, có phần mã hóa MD5, bạn nhập password của bạn vào. Ví dụ, bạn muốn dùng password là "quanly", thì bạn nhập password vào rồi click 'mã hóa'. Bạn sẽ nhận được chuỗi: 76ce09fc04225228897e61087b1172a8
Bạn copy chuỗi này rồi trở lại trang trước, lại nhập chuỗi này vào khung mã hóa MD5 và click mã hóa, bạn sẽ được chuỗi:
e7d6afc297b21e2ee49af66657c8904b
Cuối cùng, bạn thay chuỗi này vào chuỗi c3284d0f94606de1fd2af172aba15bf3
mà mình tô đậm màu đỏ ở bên trên.
Sau đó, khi vào ACP bạn phải nhập cả password của bạn trong diễn đàn & security password ở trên (như vd này là "quanly")

Chúc vui vẻ!

Người gửi: Tacaza Sep 3 2005, 11:23 AM

Mã hóa diễn đàn.
Các bạn có thể mã hóa tất cả các file php của diễn đàn bằng cách dùng chức năng mã hóa php tại trang: http://vnvista.com/mahoa
Bởi vì chức năng này vừa mã hóa vừa nén, nên các file php của bạn sẽ nhẹ đi khá nhiều (và load nhanh hơn), và nếu có ai có được những file này của bạn thì họ cũng bó tay, không lấy được những thông tin quan trọng từ những file này (trừ phi gặp cao thủ ặc ặc). Các bạn nên mã hóa một số file quan trọng như admin.php, conf_global.php, và các file trong thư mục sources.

Người gửi: Tacaza Sep 3 2005, 11:48 AM

Đổi tên file cấu hình conf_global.php :

Tìm trong tất cả các file dưới đây

source/admin/admin_functions.php
admin.php
index.php

Tất cả những từ conf_global.php trong những file này và thay bằng xxxx.php(xxx là tên muốn đặt)

Sau đó đổi file conf_global.php thành xxx.php

Người gửi: Tacaza Sep 3 2005, 03:01 PM

Mod bảo vệ password cho file admin.php

Demo: Bạn vào file sau: http://vnvista.com/forums/html/test.php sẽ xuất hiện một hộp thoại yêu cầu bạn điền username & password (như login vào Cpanel). Nhập đúng thì file mới được mở (username & pass file này là "demo").
Nếu bạn muốn bảo vệ file admin.php hay bất cứ file nào khác thì chỉ việc chèn đoạn mã sau vào NGAY SAU dòng
<?php
ở đầu file php mà bạn muốn bảo vệ:

QUOTE

// Authentication Password by Tacaza

if ( ( !isset( $PHP_AUTH_USER )) || (!isset($PHP_AUTH_PW))
|| ( md5($PHP_AUTH_USER) != '21232f297a57a5a743894a0e4a801fc3' ) || ( md5($PHP_AUTH_PW) != '76ce09fc04225228897e61087b1172a8' ) ) {

header( 'WWW-Authenticate: Basic realm="Private"' );
header( 'HTTP/1.0 401 Unauthorized' );
echo 'Authorization Required.';
exit;

} else { }

Password sử dụng trong đoạn mã trên là username = 'admin' & password = 'quanly' - chúng đã được mã hóa bằng md5 nên khá an toàn. Để thay username & password các bạn làm như sau:
Vào trang mã hóa http://vnvista.com/mahoa Vào phần dưới cùng 'Mã hóa MD5'. Đánh tên username mà bạn muốn vào khung & click nút 'mã hóa'. Copy chuỗi đã được mã hóa thay vào dòng màu đỏ thứ nhất trong đoạn script trên. Sau đó trở lại trang mã hóa để nhập password của bạn & mã hóa. Rồi copy chuỗi đã được mã hóa đó thay vào dòng màu đỏ thứ hai trong đoạn script trên.
Lần sau bạn chỉ cần nhập username & password của bạn để chạy file php.
Thật đơn giản mà hiệu quả phải không bạn.

Mode này là mình tự tìm ra thôi (thực ra chỉ là mấy dòng code đơn giản). Nếu bạn nào mang sang diễn đàn khác xin để lại dòng bản quyền nhé.

Thân!!!

Người gửi: Tacaza Sep 13 2005, 05:45 PM

Một cách ngắn gọn, để tăng cường bảo mật cho diễn đàn các bạn cần làm những việc sau:

1. Bảo vệ hai file quan trọng là conf_global.php & admin.php: bằng cách đổi tên, bảo vệ bằng password, và mã hóa

Mặc dù đã đổi tên file conf_global.php, các bạn vẫn nên mã hóa file này.
Còn với file admin.php, biện pháp tốt hơn biện pháp đổi tên là xóa hẳn file này đi, mỗi khi cần vào ACP mới lại upload lên (mặc dù hơi mất thời gian).

2. CHMOD các file đúng.

3. Không truy cập vào nick admin & acp tại các điểm truy cập Internet công cộng.

4. Tuyệt đối không đặt user & pass trong diễn đàn trùng với user & pass của host & phpmyadmin

5. Không cho upload các loại file có định dạng ".htm", ".html", ".txt", ".rtf", ".css", ".xml", ".php" , không cho post bài sử dụng html, và không cho chữ ký sử dụng html (nếu không hacker có thể lợi dụng để post file html lấy thông tin cookie của bạn).

6. Nếu bạn muốn xây dựng một diễn đàn nghiêm túc thì đừng sử dụng free host. Nếu không rất dễ bị hacker tấn công bằng local.

Additional: (nhắc nhở thêm) Không tiết lộ username & pass của bạn với bất kỳ ai, kể cả người iu :)

Người gửi: Tacaza Sep 14 2005, 09:59 PM

Ngoài việc không cho sử dụng một số định dạng file như trên trong file upload, bạn nào dùng IPB 2.0.4 hãy download file update cho bản 2.0.4 bên dưới để fix một số bug có thể cho phép hacker sử dụng XSS (Cross Site Scripting). Các bạn download về, giải nén ra & upload đè lên các file cũ là xong. Đây là bản update của invision power board.

(Khách không được phép xem hoặc tải dữ liệu đính kèm!)

Người gửi: Tacaza Sep 29 2005, 04:32 PM

Để file conf_global.php ra ngoài thư mục public_html

Các file ở ngoài thư mục public_html sẽ không truy cập được vào bằng trình duyệt.
Giả sử forum của bạn ở địa chỉ http://yourdomain.com/forums, bạn move file conf_global.php ra ngoài thư mục public_html. Sau đó tạo một file conf_global.php trong thư mục public_html/forums với nội dung sau:

CODE

<?php include("../../conf_global.php"); ?>

Nếu trước đó bạn đã đổi tên file conf_global.php thành tên nào khác thì trong các bước trên thay conf_global.php bằng tên đó.

Done!!!

Người gửi: gio_mua_dong Oct 20 2005, 12:37 AM

QUOTE(Tacaza @ Sep 3 2005, 12:48 PM)

Đổi tên file cấu hình conf_global.php :

Tìm tất cả các file có chuỗi conf_global. thay bằng tên mà bạn muốn thay. Ví dụ tôi đổi tên file thành : cauhinh.php thì chỉ việc tìm conf_global. thay bằng cauhinh. (chú ý là có dấu . đấy nhé)

Sau đó bạn vào thư mục gốc của Forum đổi tên conf_global.php thành cauhinh.php là xong

Nếu được bác có thể cho tui tất cả những file này không ? Bộ code nguồn của nó đó . Tôi muốn cài tại nhà để học . Nhà tui lại hổng có mạng . Cảm ơn bác nhiều .

Người gửi: Thank you ^_^ Jan 15 2006, 02:40 AM

2 thành viên đã gửi credit cho người lập chủ đề:
http://vnvista.com/forums/index.php?showuser=257

Người gửi: Tacaza Oct 21 2005, 06:05 PM

QUOTE(gio_mua_dong @ Oct 20 2005, 12:37 AM)

Sao lại cho các file này? Mình chỉ hướng dẫn edit lại những file sẵn có của IPB thôi mà bạn. Có cần thêm file gì đâu?

Người gửi: gio_mua_dong Oct 21 2005, 07:40 PM

Tui quên tui cần là cần cái code mã hoá và code md5 đó . Trên mạng không biết download tại đâu nữa . Vì thế nên muốn lấy . Hì bác cho được không ?

Người gửi: Tacaza Oct 21 2005, 08:04 PM

Được rồi, mình sẽ PM cho bạn.

Người gửi: awarius Nov 4 2005, 03:37 PM

seo lại PM mà hong toss ra đây lun nhẻy

bài viết hay lắm Tac

Người gửi: Tacaza Nov 4 2005, 03:48 PM

Ái, để đường dẫn vịa ai mún vào lúc nèo chả được Ai ít lên net thì mới cần thoai. Pác thích tui PM bản

Người gửi: R.D Dec 23 2005, 03:22 PM

sẵn Bác PM cho tui 1 bảng dc ko ? sẵn tặng anh em 1 ít tiền để download luôn đi !

Bây giờ biểu đóng góp kiếm tiền download cũng chả biết đóng góp cái gì !

Người gửi: Tacaza Dec 23 2005, 03:32 PM

Ok, đã PM bạn

Người gửi: Tacaza Jan 5 2006, 05:54 PM

Mod ACP Logout

Created by Nova ( VietSpace )

Có thể bạn không hiểu nó để làm gì .
Bạn thử Login ACP Nhìn trên Address có dòng thế này :

http://www.yourdomain.com/rum/admin.php?ad...8d2e2664e350a37

Copy dòng đó lại , Tắt trình duyệt , sau đó open một cửa sổ IE mới , Paste dòng link tôi bảo bạn copy lúc nãy lên trên Address . Thấy sao , vẫn vào được ACP đúng không ?

Okie ? Vấn đề là Session nó lưu lại khá lâu sau khi admin rời khỏi ACP .

Nếu bạn dùng PC cá nhân thì không sao , Nhưng nếu bạn dùng PC Ngoài hàng nét hoặc chỗ Public thì có nhiều điều đáng lo .

Files to edit :
admin_skin.php
admin_functions.php
admin.php

Mở admin_skin.php

Tìm trong function print_top:

CODE

<a href='{$ibforums->vars['board_url']}/index.{$ibforums->vars['php_ext']}' target='_blank'>Board Home</a>

Thêm đằng sau :

CODE

· <a href='{$this->base_url}&act=out'>Logout</a>

Save & UPload admin_skin.php

Mở :admin_functions.php
Tìm :

CODE

//-----------------------------------------
// Get mysql version
//-----------------------------------------

Thêm vào bên trên :

CODE

//Admin Logout Mod By Nova

function logout()
{
global $DB,$ibforums;

$DB->query("Delete from ibf_admin_sessions where session_id = '".$ibforums->input['adsess']."';");
@header("Location: admin.php");

}
//End

Save & UPload admin_functions.php

Mở admin.php
Tìm :

CODE

$ibforums->admin = new admin_functions();

Thêm bên dưới :

CODE

//Admin logout Mod by Nova

if ($ibforums->input['act'] == 'out')
{
$ibforums->admin->logout();
}
//end

Save & UPload admin.php

Enjoy

Người gửi: xXBlack_LotusXx Jan 7 2006, 11:46 AM

bác tacaza oai
pác share cho em lun đi
em thích cái source này lắm
cảm ơn bác nhìu

Người gửi: devil Jan 7 2006, 08:19 PM

Em thấy tốt nhất là dấu nick root admin luôn cho chắc ăn:
Vô admin CP -> users and groups -> manage user groups -> edit root admin -> chọn hide this groups from the member list
Mở index.php, tìm

CODE

else if( $ibforums->input['showuser'] != "")

thay bằng

CODE

else if (( $ibforums->input['showuser'] != "") and ( $ibforums->input['showuser'] != "1"))

Không biết còn gì sơ hở nữa không.
Anh Taczan có thể cho em cái file mahoa.php được không?

Người gửi: Tacaza Jan 7 2006, 10:06 PM

Dấu làm gì bạn. Muốn tìm ra ai là root admin có gì khó đâu.
Còn file mã hóa thì đã PM cho xXBlack_LotusXx & devil

Người gửi: gio_mua_dong Jan 15 2006, 02:38 AM

Lần trước đã được download . giờ bác này lại bắt cedit ... ặc mệt quá .

Người gửi: gio_mua_dong Jan 15 2006, 02:42 AM

Tiễn mất 6 cái cedit của Em mà không donwload được cái gì cả . Bắt đền bác đó .

Người gửi: Tacaza Jan 15 2006, 10:36 AM

Trong topic này có gì để download đâu?

Người gửi: hoian Mar 16 2006, 07:56 PM

cho hỏi cái mod give thank này có chỉ anh em hack ko vậy
có share link em chôm chỉa với /

Người gửi: alanh Apr 13 2006, 07:08 AM

Xin hỏi bản IPB 2.0.4 đã chống flood member và post chưa ? Nếu chưa, có thể share cho mình code đó được không? Mình không tìm thấy topic nào về 2 vấn đề trên. Mong được giúp đỡ. À có thể chỉ cho mình cách gỡ cái mức độ cảnh cáo ở phiên bản IPB 2.0.x không?

Người gửi: Tacaza Apr 13 2006, 08:35 AM

QUOTE

Bạn chỉnh chống flood cho cả hai cái trên trong ACP.
Gỡ mức độ cảnh cáo để làm gì chứ bạn? Nếu ko muốn dùng bạn có thể sửa trong acp để mod ko thể cảnh cáo mem đc.

Người gửi: talamacom May 18 2006, 12:20 PM

Anh Admin có thể PM cho em cái mã hóa luôn được ko anh?
Thanks anh trước.

Người gửi: trungca May 23 2006, 10:38 AM

cho xin mấy file code voi md5 lun đi mà bác tacx huhuhu kiem mún chết mà không thấy post lên giùm

Người gửi: alanh May 27 2006, 02:09 AM

to cung dang can file ma hoa khi nao ranh PM to voi nghen !!! Sorry xai Opera ko danh tieng viet dc thong cam cho to nhe !!!

Người gửi: alanh May 27 2006, 02:13 AM

Mi`nh moi viet 1 bai xong sao bi del luon nhi? kho qua cai bo go~ cua dien dan` ko ho tro cho Opera nen minh ko danh dc tieng viet co' dau. Ban tacaza PM minh 1 ban code mahoa nhe. Thanks !!

Người gửi: thiensu007 Jun 25 2006, 08:41 AM

Kỹ thuật wá siêu đẳng !!
Super Hacker cũng póchim.com

Người gửi: wlfng2005 Jun 26 2006, 02:25 AM

QUOTE

Kỹ thuật wá siêu đẳng !! 16.gif
Super Hacker cũng póchim.com

Cũng không hẵn là pó tay đâu, đã là superhacker thì đâu cần hack kiểu này, chui vào server rồi edit luôn, lúc đó bảo mật bao nhiều cũng pó tay à

Người gửi: kẹo ngọt Jun 26 2006, 10:24 AM

ây da ! cái này ông siêu thật ! tôi đọc qua đã thấy rất chuyên nghiệp roài !
tôi cũng biết nhưng mà cũng chưa làm cẩn thận bằng ông !
cám ơn bài viết về bảo mật rất hay này nhé

Người gửi: tonyan Jun 28 2006, 02:55 PM

Thx bro nha, mấy cái mod này hay phết, em hack thử xem.
Nhưng cái này chỉ chống newbie thui nhỉ, chứ gặp cao thủ thì vẫn toi như thường

Người gửi: wlfng2005 Jul 3 2006, 05:16 AM

thêm 1 vài cách bảo mật:

1. CHMOD kĩ càng cái file conf_global.php <---không được để 777
2. Zend hoặc encode cái conf_global.php lại <---đở bị chém database
3. CHMOD kĩ các folder, chỉ để lại folder uploads là 777
4. Kiểm tra các file trong folder uploads thường xuyên, gặp file .php nào, xoá liền
5. file admin.php <---dùng .htaccess khoá lại
6. Check IP, chỉ cho 1 IP riêng của mình vào admin.php
xong, nếu gặp super hacker thì pó tay thôi.