các bước bảo mật cho forum IPB

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

các bước bảo mật cho forum IPB

[Question] các bước bảo mật cho forum IPB	13/07/2006 00:47:16 (+0700) \| #1 \| 6189

jackly
Member

Joined: 26/06/2006 20:17:52
Messages: 11
Location: CHV
Offline

xin các anh em nào biết các phương pháp bảo mật cho IPb thì hãy hướng dẫn cụ thể cho newbie để các bạn có thể từng bước làm quen với bảo mật nhé ! . nên hướng dẫn cách bảo mật theo từng bước chứ đừng post các bài thảo luận và nghiên cứu vì nghiên cứu và thảo luận đã có box kia rồi !
tui chỉ biết có 2 bước là lập firewall bằng tường lửa mới cung cấp trong đại hội webmaster lần trước , bước thứ 2 là bảo mật bằng file .htaccess giống HVA vậy ! còn các chiêu nào nữa không anh em ! nghe nói nhiều về hệ thống bảo mật rồi mà chưa thấy nó ra sao ! vậy cách lập thế nào vậy ! lập một hệ thống phòng thủ ấy ! thân !

[Question] các bước bảo mật cho forum IPB	13/07/2006 00:51:41 (+0700) \| #2 \| 6192

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

jackly wrote:

xin các anh em nào biết các phương pháp bảo mật cho IPb thì hãy hướng dẫn cụ thể cho newbie để các bạn có thể từng bước làm quen với bảo mật nhé ! . nên hướng dẫn cách bảo mật theo từng bước chứ đừng post các bài thảo luận và nghiên cứu vì nghiên cứu và thảo luận đã có box kia rồi !
tui chỉ biết có 2 bước là lập firewall bằng tường lửa mới cung cấp trong đại hội webmaster lần trước , bước thứ 2 là bảo mật bằng file .htaccess giống HVA vậy ! còn các chiêu nào nữa không anh em ! nghe nói nhiều về hệ thống bảo mật rồi mà chưa thấy nó ra sao ! vậy cách lập thế nào vậy ! lập một hệ thống phòng thủ ấy ! thân !

HVA không dùng .htaccess

What bringing us together is stronger than what pulling us apart.

[Question] các bước bảo mật cho forum IPB	13/07/2006 00:56:43 (+0700) \| #3 \| 6194

KINYO
Member

Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline

jackly wrote:

xin các anh em nào biết các phương pháp bảo mật cho IPb thì hãy hướng dẫn cụ thể cho newbie để các bạn có thể từng bước làm quen với bảo mật nhé ! . nên hướng dẫn cách bảo mật theo từng bước chứ đừng post các bài thảo luận và nghiên cứu vì nghiên cứu và thảo luận đã có box kia rồi !
tui chỉ biết có 2 bước là lập firewall bằng tường lửa mới cung cấp trong đại hội webmaster lần trước , bước thứ 2 là bảo mật bằng file .htaccess giống HVA vậy ! còn các chiêu nào nữa không anh em ! nghe nói nhiều về hệ thống bảo mật rồi mà chưa thấy nó ra sao ! vậy cách lập thế nào vậy ! lập một hệ thống phòng thủ ấy ! thân !

Thực ra vấn đề bảo mật cho IPB cũng không có gì là ghê gớm cả đâu, cái quan trọng nhất là phải theo dõi, thường xuyên cập nhật các bản vá trước khi hacker lợi dụng nó. Nếu làm tốt được cái này thì forum của bạn đã an toàn ở mức 99% rồi đấy.

[Question] Re: các bước bảo mật cho forum IPB	13/07/2006 01:00:15 (+0700) \| #4 \| 6197

KINYO
Member

Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline

Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ.

Chỉ cần các bạn nắm vững được một vài nguyên tắc đơn giản là có thể yên tâm cười nhạo hacker được rồi. Sau khi đọc hết bài viết của tôi bạn sẽ thấy rằng hacker chỉ là những chó thỏ non tôi nghiệp mà thôi, bạn mới chính là người chủ động trong cuộc chiến.

Bận quá, chốc viết tiếp.

[Question] các bước bảo mật cho forum IPB	14/07/2006 21:07:16 (+0700) \| #5 \| 6611

ly_thu_van
Member

Joined: 02/07/2006 16:01:12
Messages: 1
Location: Giấc mơ anh và em bên nhau
Offline

Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè.......

[Question] các bước bảo mật cho forum IPB	14/07/2006 23:12:06 (+0700) \| #6 \| 6656

KINYO
Member

Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline

ly_thu_van wrote:

Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè.......

Hì, lỗ hổng bảo mật đã có người tìm ra hộ, 99.99% hackers chỉ là những người lợi dụng những lỗ hổng đó khi người ta post nó lên các websites về security, vấn đề ở đây là ai nhanh chân hơn ai, thằng phá nhanh hơn hay thằng chống nhanh hơn.

Bây giờ thì bạn hiểu một phần vấn đề rồi chứ.

Nhưng còn một số vấn đề nữa không kém phần quan trọng (nhất là cho newbie), từ từ rồi tôi sẽ post lên.

[Question] các bước bảo mật cho forum IPB	14/07/2006 23:35:03 (+0700) \| #7 \| 6672

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

KINYO wrote:

ly_thu_van wrote:

Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè.......

Hì, lỗ hổng bảo mật đã có người tìm ra hộ, 99.99% hackers chỉ là những người lợi dụng những lỗ hổng đó khi người ta post nó lên các websites về security, vấn đề ở đây là ai nhanh chân hơn ai, thằng phá nhanh hơn hay thằng chống nhanh hơn.

Bây giờ thì bạn hiểu một phần vấn đề rồi chứ.

Nhưng còn một số vấn đề nữa không kém phần quan trọng (nhất là cho newbie), từ từ rồi tôi sẽ post lên.

Hackers (đúng nghĩa) không làm những chuyện này.

What bringing us together is stronger than what pulling us apart.

[Question] các bước bảo mật cho forum IPB	14/07/2006 23:49:28 (+0700) \| #8 \| 6684

Vickizw
Member

Joined: 06/07/2006 19:55:29
Messages: 339
Location: ColTech
Offline

Bác KINYO hình như chưa đọc bài đối thoại với rookie của anh Conmale

jackly wrote:

xin các anh em nào biết các phương pháp bảo mật cho IPb thì hãy hướng dẫn cụ thể cho newbie để các bạn có thể từng bước làm quen với bảo mật nhé ! . nên hướng dẫn cách bảo mật theo từng bước chứ đừng post các bài thảo luận và nghiên cứu vì nghiên cứu và thảo luận đã có box kia rồi !
tui chỉ biết có 2 bước là lập firewall bằng tường lửa mới cung cấp trong đại hội webmaster lần trước , bước thứ 2 là bảo mật bằng file .htaccess giống HVA vậy ! còn các chiêu nào nữa không anh em ! nghe nói nhiều về hệ thống bảo mật rồi mà chưa thấy nó ra sao ! vậy cách lập thế nào vậy ! lập một hệ thống phòng thủ ấy ! thân !

Để bảo mật IBF thì bạn có thể cập nhật các bản vá của IBF
Nếu bạn lập trình php tốt thì có thể nghiên cứu code để tự fix nó
Còn nữa để bảo mật forum tốt thì trước tiên host bạn phải bảo mật tốt
Bạn chỉ là người thuê host không có server riêng thì chọn server bảo mật cao về phần host thì như bạn đã nói và CHMOD các file các thư mục thật cẩn thận

[Question] các bước bảo mật cho forum IPB	15/07/2006 00:41:45 (+0700) \| #9 \| 6716

KINYO
Member

Joined: 30/06/2006 19:10:11
Messages: 272
Location: localhost
Offline

conmale wrote:

KINYO wrote:

ly_thu_van wrote:

Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè.......

Hì, lỗ hổng bảo mật đã có người tìm ra hộ, 99.99% hackers chỉ là những người lợi dụng những lỗ hổng đó khi người ta post nó lên các websites về security, vấn đề ở đây là ai nhanh chân hơn ai, thằng phá nhanh hơn hay thằng chống nhanh hơn.

Bây giờ thì bạn hiểu một phần vấn đề rồi chứ.

Nhưng còn một số vấn đề nữa không kém phần quan trọng (nhất là cho newbie), từ từ rồi tôi sẽ post lên.

Hackers (đúng nghĩa) không làm những chuyện này.

Chào anh Commale, như đã nói rõ ở post đầu tiên, chủ đề này được tác giả yêu cầu là dành cho newbie, vì vậy chuyện hacker đúng nghĩa hay không đúng nghĩa thực ra cũng không quan trọng đối với nội dung của chủ đề lắm, newbie thường chỉ nhìn nhận vấn đề một cách đơn giản và trực quan như sau : thằng nào phá forum của tôi hay đột nhập vào máy tính của tôi, thằng đó là hacker.

Còn nếu để định nghĩa thế nào là hacker thì phải mở riêng một chủ đề khác, khi đó chúng ta sẽ tìm hiểu sâu hơn về vấn đề này, ví dụ black hat hacker là gì, white hat hacker là gì, dark side hacker là gì...

[Question] các bước bảo mật cho forum IPB	15/07/2006 00:53:13 (+0700) \| #10 \| 6726

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

KINYO wrote:

conmale wrote:

KINYO wrote:

ly_thu_van wrote:

Muốn bảo vệ một forum không khó, cái quan trọng đầu tiên cần biết là hacker có thể phá theo những con đường nào, từ đó ta sẽ có kế hoạch cụ thể để phòng thủ

=> không biết lỗ hổng bảo mật thì làm sao có thể biết hacker có thể phá theo đường nào chứ??? Đúng không nè.......

Hì, lỗ hổng bảo mật đã có người tìm ra hộ, 99.99% hackers chỉ là những người lợi dụng những lỗ hổng đó khi người ta post nó lên các websites về security, vấn đề ở đây là ai nhanh chân hơn ai, thằng phá nhanh hơn hay thằng chống nhanh hơn.

Bây giờ thì bạn hiểu một phần vấn đề rồi chứ.

Nhưng còn một số vấn đề nữa không kém phần quan trọng (nhất là cho newbie), từ từ rồi tôi sẽ post lên.

Hackers (đúng nghĩa) không làm những chuyện này.

Chào anh Commale, như đã nói rõ ở post đầu tiên, chủ đề này được tác giả yêu cầu là dành cho newbie, vì vậy chuyện hacker đúng nghĩa hay không đúng nghĩa thực ra cũng không quan trọng đối với nội dung của chủ đề lắm, newbie thường chỉ nhìn nhận vấn đề một cách đơn giản và trực quan như sau : thằng nào phá forum của tôi hay đột nhập vào máy tính của tôi, thằng đó là hacker.

Còn nếu để định nghĩa thế nào là hacker thì phải mở riêng một chủ đề khác, khi đó chúng ta sẽ tìm hiểu sâu hơn về vấn đề này, ví dụ black hat hacker là gì, white hat hacker là gì, dark side hacker là gì...

Anh tin rằng, bởi vì bài này dành cho newbie thì thông tin lại càng phải chính xác. Ngay từ đầu nếu họ hiểu lệch lạc thì càng về sau sẽ càng lệch lạc. Dân chuyên không cần phải định nghĩa đúng với họ nữa.

Bởi vì nhận định: "thằng nào phá forum của tôi hay đột nhập vào máy tính của tôi, thằng đó là hacker." này sai lầm nên việc khai phá vấn đề sẽ sai lầm. Nếu em đóng vai trò truyền đạt, em phải chính xác.

What bringing us together is stronger than what pulling us apart.

[Question] các bước bảo mật cho forum IPB	17/07/2006 02:37:15 (+0700) \| #11 \| 7243

kenvin_mitnick
Member

Joined: 14/09/2005 05:40:59
Messages: 1
Offline

hix .. người ta nói gừng càng già càng cay .... Anh comale "chưa già" mà đã "cay" roài ....

Việc bảo mật cho IPB chỉ cần Admin chịu khó online và cập nhật bug cũng như Update bản mới .. Hình như hiện nay,có 1 trào lưu thích có web, forum .. thiết kế xong rồi để đó .. nên mới bị "hack" .....
-Có lẽ,khi thành lập những forum đó họ nên NGHĨ TỚI HIỆU QUẢ CỦA NÓ chứ đừng để "OAI" với người khác .. smilie

-to Conmale : em đang chờ đọc tiếp "Những cuộc đối thoại với rookie" của anh đó .. smilie

[Question] Re: các bước bảo mật cho forum IPB	19/07/2006 18:47:35 (+0700) \| #12 \| 7935

badbigboy1
Elite Member

Joined: 12/03/2003 16:59:34
Messages: 48
Offline

Tưởng có bài viết hay, thôi thì tớ spam cho nó chán hẳn rồi đóng cửa tống hết moịn người ra, bài viết hay thì tớ không spam đâu. Trước có một topic cựu hay trên này dạy các bước bảo mật cho IBP, ko tìm lại được

[Question] các bước bảo mật cho forum IPB	20/07/2006 20:16:34 (+0700) \| #13 \| 8280

lyhuuloi
Elite Member

Joined: 04/04/2003 11:29:17
Messages: 90
Location: TP HCM
Offline

Nếu "hacker" không được thì dùng "attacker" vẫn được chứ anh conmale smilie

Thông thường khi khi attacker tìm được lỗi và tìm cách khai thác, mục tiêu là lấy được thông tin của field "member_login_key" trong table "ibf_members".

Thông tin đó sẽ được IBF 2.1.x chọn làm pash_hash lưu vào cookie. Vì thế attacker khi lấy được thông tin của field "member_login_key" thì có thể fake cookie :rolleyes:

Mấu chốt là khi IBF chọn nó (member_login_key) làm giá trị pash hash lưu vào cookie. mình sẽ biến đổi nó bằng cách mã hóa md5 giá trị của field member_login_key với 1 khóa tự đặt nào đó. Như vậy khi kiểm tra, dù cho attacker có lấy được member_login_key cũng không thể fake cookie.

Cách làm như sau:

sources / action_public / login.php

Bây giờ sẽ thay đổi pash hash được tạo khi đăng nhập, Tìm đến:

Code:

$this->ipsclass->my_setcookie("pass_hash"   , $member["member_login_key"], 1);

Thay thành:

Code:

$this->ipsclass->my_setcookie("pass_hash"   , md5($member["member_login_key"]."hehehe"), 1);

Còn dưới đây là thay đổi cách kiểm tra member_login_key thành kiểm tra khác:

sources / classes / class_session.php

Code:

if ($this->member['member_login_key'] == $cookie['pass_hash'])

Thay thành:

Code:

if (md5($this->member['member_login_key']."hehehe") == $cookie['pass_hash'])

By lyhuuloi.

PS: hehehe = mật mã bạn đặt.

http://lyhuuloi.com smilie

[Question] các bước bảo mật cho forum IPB	21/07/2006 01:20:26 (+0700) \| #14 \| 8404

subnetwork
Member

Joined: 05/09/2004 06:08:09
Messages: 1666
Offline

Cập nhật bug cho kĩ, nếu cái này không làm tốt, một trăm forum cũng down .
CHMOD cho thật kỹ (kiểm tra xem thư mục nào có CHMOD là 777 thì CHMOD nó cho phù hợp)
Ngoài ra có thể tham khảo từ bên Invisionize.com trong đó có vài biện pháp tối ưu cho Invision .

Thân

Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com

[Question] các bước bảo mật cho forum IPB	26/07/2006 23:13:20 (+0700) \| #15 \| 10159

buicathung
Elite Member

Joined: 21/09/2004 01:17:00
Messages: 53
Location: Địa Ngục
Offline

xin bổ xung 1 chút:
với 2.0.x mở file sources/login.php
với 2.1.x mở file sources/action_public/login.php

[Question] các bước bảo mật cho forum IPB	28/07/2006 05:35:36 (+0700) \| #16 \| 10469

kara_men
Member

Joined: 27/06/2006 02:32:38
Messages: 91
Offline

lyhuuloi wrote:

Nếu "hacker" không được thì dùng "attacker" vẫn được chứ anh conmale
.....

By lyhuuloi.

PS: hehehe = mật mã bạn đặt.

Bài của lyhuuloi tui thử rồi, lúc signin thì nó ra trang trắng chớ ko thấy wwwect vô lại dù cookie đã được set, vô trang khác thấy "đã đăng nhập".

[Question] Re: các bước bảo mật cho forum IPB	28/07/2006 06:22:41 (+0700) \| #17 \| 10488

hoangaus
Member

Joined: 27/06/2006 03:18:21
Messages: 13
Offline

thường thì giờ k ai lấy login_key để fake cookies nữa đâu bạn ạ ... forgot pass rồi nó lấy validating key từ table validating để rs pass của mình ... chỉ có thể check nếu rs id = admin id thì k cho rs thì có thể khác phục được hơn smilie

Go to:

Users currently in here
1 Anonymous