PDA

View Full Version : Tổng hợp cách bảo mật cho TV Web 1.85



ilovegame
06-11-11, 03:22 PM
Cá nhân mình thấy TV WEB dùng có vẻ thuận tiện hơn NBB. Lần đầu tiên lập nick NBB không thể nhớ nổi mấy cái pas của nó : Pas game pass web game cấp 2 web cấp 2. mình phải lập lại đến cái thứ 3 mới nhớ. Nhưng TV web có một điểm là bảo mật quá kém. Cá nhân mình là bị hack mất thẻ rồi xóa toàn bộ Database. Mình xin tổng hợp lại fix các lỗi bảo mật của các cao thủ và của cá nhân mình. Mong rằng sẽ hiệu quả hơn đôi chút.

1 Nhớ đổi tên floder : server
2 Fix lỗi log by thecong:
Bạn tìm file : server/log/index.php : đổi tên file index.php , thư mục log thành một tên nào khác. Khi nào muốn xem log bạn lại vào như thư mục vừa đổi

3 Đổi tên floder admin trong phần server thành > quanlymu123(tùy bạn). Sửa file security.php ngay dòng thứ 2 sửa thành $file_listip = "listip.txt";

4 Đổi mã MD5 trong thư mục server/admin (vừa đổi tên lại nhé) các file index.php,cardphone.php,checkip.php,security.php if ($pass_admin == $passadmin || $pass_admin == "e992bbb8e2041788f7ad563b8eeb79d6") thành pass MD5 mới của các bạn

5 Change quyền Folder htdocs thành read Only. Vì mình nhận thấy khi mình bị hack chúng nó làm cách nào để change file listip.txt rồi thêm ip của nó vào. Khi bạn cần sửa gì bỏ readonly rồi chỉnh lại như cũ.

Mình chủ đóng góp 1 vài tối kiến >:)>:) do trình độ còn kém. Anh em động viên cái cho nó có tinh thần. Các cao thủ đọc qua thấy có đóng góp gì nhớ comment đừng giấu bí kíp nhé. Cảm ơn ilovegame đã đọc bài viết này.

๑۩۞۩๑๑۩۞۩๑
07-11-11, 09:13 AM
Hay có ý nghĩa lấm, cám ơn nhiều

TND.VN
07-11-11, 01:32 PM
cho mình hỏi làm thế nào fix lỗi mà reset thì bị mất điểm master + skill ko ?

darkmagician
08-11-11, 06:16 AM
có link dowwnload ko cho mình test với

godhoang
08-11-11, 01:39 PM
@ilovegame: cứ tiếp tục phát huy nha bạn :P
Anh em rất cảm ơn :D

apple
08-11-11, 06:01 PM
@ilovegame: cứ tiếp tục phát huy nha bạn :P
Anh em rất cảm ơn :D

cám ơn bằng mồm à hoàng rapper ;))

godhoang
08-11-11, 08:22 PM
cám ơn bằng mồm à hoàng rapper ;))
:-w
OK ngay cậu Steve Apple :|
Up 30 charrrrrrrrrrrr

TND.VN
08-11-11, 10:52 PM
Ai chi minh cach fix loi Reset Mat Skill va Master voi.

Web cua minh chay khong hieu sao no khong cap nhap rank :(

vothailam
13-11-11, 10:02 PM
Cá nhân mình thấy TV WEB dùng có vẻ thuận tiện hơn NBB. Lần đầu tiên lập nick NBB không thể nhớ nổi mấy cái pas của nó : Pas game pass web game cấp 2 web cấp 2. mình phải lập lại đến cái thứ 3 mới nhớ. Nhưng TV web có một điểm là bảo mật quá kém. Cá nhân mình là bị hack mất thẻ rồi xóa toàn bộ Database. Mình xin tổng hợp lại fix các lỗi bảo mật của các cao thủ và của cá nhân mình. Mong rằng sẽ hiệu quả hơn đôi chút.

1 Nhớ đổi tên floder : server
2 Fix lỗi log by thecong:
Bạn tìm file : server/log/index.php : đổi tên file index.php , thư mục log thành một tên nào khác. Khi nào muốn xem log bạn lại vào như thư mục vừa đổi

3 Đổi tên floder admin trong phần server thành > quanlymu123(tùy bạn). Sửa file security.php ngay dòng thứ 2 sửa thành $file_listip = "listip.txt";

4 Đổi mã MD5 trong thư mục server/admin (vừa đổi tên lại nhé) các file index.php,cardphone.php,checkip.php,security.php if ($pass_admin == $passadmin || $pass_admin == "e992bbb8e2041788f7ad563b8eeb79d6") thành pass MD5 mới của các bạn

5 Change quyền Folder htdocs thành read Only. Vì mình nhận thấy khi mình bị hack chúng nó làm cách nào để change file listip.txt rồi thêm ip của nó vào. Khi bạn cần sửa gì bỏ readonly rồi chỉnh lại như cũ.

Mình chủ đóng góp 1 vài tối kiến >:)>:) do trình độ còn kém. Anh em động viên cái cho nó có tinh thần. Các cao thủ đọc qua thấy có đóng góp gì nhớ comment đừng giấu bí kíp nhé. Cảm ơn ilovegame đã đọc bài viết này.
Tui thấy cách của bạn không có gì hay cả, toàn là đổi thư mục để làm gì??? đổi thư mục chẳng có tác dụng gì. sao không đặt password tốt hơn?
ví dụ: server/log/index.php thêm code và pass admin vào


session_start();
define('ThieuVanMU',true);
if ($_POST[submit]) {
$pass_admin = md5($_POST[useradmin]);
if ($pass_admin == $pass_trangadmin) $_SESSION['useradmin'] = $pass_trangadmin;
}
if (!$_SESSION['useradmin'] || $_SESSION['useradmin'] != $pass_trangadmin) {
echo "<center><form action='' method=post>
Code: <input type=password name=useradmin> <input type=submit name=submit value=Submit>
</form></center>
";
exit();
}

cách bảo mật của bạn đều là đổi thư mục không có ý nghĩa gì bảo mật cả.


5 Change quyền Folder htdocs thành read Only. Vì mình nhận thấy khi mình bị hack chúng nó làm cách nào để change file listip.txt rồi thêm ip của nó vào. Khi bạn cần sửa gì bỏ readonly rồi chỉnh lại như cũ.
đã vào được server đọc được listip.txt thì có cần thiết cái read Only file này không? họ có thể bỏ dòng $file_listip = "listip.txt"; trên file php mà??
nói chung đặt pass tốt là được còn file log vào được thì cho vui chứ làm gì được đâu.

legendaryntq
17-11-11, 06:12 PM
hay các thử zend file xem sao
khó giải mã :D

lastpr0
21-11-11, 11:02 PM
@vothailam: bạn trả lời rất vờ cờ lờ.
1. Nếu trên server, đối với linux CHMOD 101, đối với Windows Read-only, thì xin hỏi, nếu không chiếm được quyền root, hay thông qua các lỗ hỏng lặt vặt, remote, user, pass, hoặc chính webserver có sơ hở, cpanel,..., thì local bằng cách nào ?
2. Phải nên nói là, đặt password sẽ phế nếu họ đã local thành công vào server của bạn, lúc đấy, tớ chấp bạn 10 cái password đấy.
3. Phải làm tốt những cái căn bản trước đã. Đổi tên thư mục, và các tên file nhạy cảm nếu cần, nhất là file log, bạn đổi làm sao, chỉ mình bạn biết thôi, vì đây là file chứa thông tin debug,...các thứ của bạn, điều này cần tí hiểu biết về php. Dùng listip.txt thôi vẫn chưa đủ, phải dùng luôn .htaccess nữa.
4. Như chủ topic nói, đổi tất cả md5 trong file config thành pass md5 của mình. Tạo 1 lớp .htaccess login nữa cho an toàn nếu thấy cần. Xampp hỗ trợ .htaccess rất tốt,
linux thì khỏi bàn cãi.
5. Thường xuyên check log, xem ip đáng ngờ, login sai nhiều lần, cố ý truy cập link không tồn tại,...deny ip và để ý nhiều hơn trong khoảng thời gian phát hiện.
Điều còn lại, phụ thuộc rất nhiều vào source web và config của webserver. Nếu server chỉ cần chạy TVweb, bạn chỉ cần hiểu tí về php, chặn tất cả các function nào TVweb không dùng đến, vừa tránh được dư thừa, php chạy khỏe hơn (lý thuyết), thế thì có shell nó cũng không chạy được.
Zend cũng là 1 cách, nhưng mục đích của zend thực tế không phải là mã hóa để bảo mật, cái cốt lõi của zend là tối ưu code php, để nó chạy nhanh và chuẩn xác hơn, do đó zend phải mã hóa php theo cách của zend để xử lý, song song đó, chính cái mã hóa để tăng hiệu năng đó nó kéo theo việc mà ngày nay người ta nghĩ đến zend là ...bảo mật, giấu code các thể loại.
Đôi lời chia sẻ cùng ae.