English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập File config.php có dễ bị tấn công ?  XML
  [Question]   File config.php có dễ bị tấn công ? 16/03/2009 08:31:51 (+0700) | #1 | 173322
[Avatar]
 tranduyninh
Member
[Minus]    0    [Plus]
Joined: 05/07/2006 12:05:48
Messages: 253
Location: aiowebs.net
Offline
[Profile] [PM] [WWW] [Yahoo!]
Sau khi lượn qua một vòng google mình thấy có rất nhiều Website vẫn để file config.php ở public_html . vậy file này thể bị tấn công như thế nào ? cách phòng chống ra sao ?
Các bạn giúp mình giải cứu bạn gái này nha : http://bit.ly/23mHJE ( đây là 1 cuộc thi đó ) không biêt các hắc cơ có ý kiến như thế nào ?
[Up] [Print Copy]
  [Question]   Re: File config.php có dễ bị tấn công ? 16/03/2009 08:43:10 (+0700) | #2 | 173323
boom_jt
Member
[Minus]    0    [Plus]
Joined: 02/08/2007 23:51:10
Messages: 125
Offline
[Profile] [PM]
file này có thể bị tấn công thông qua các lỗi như Arbitary File download, Local file inclusion, hay không loại trừ khả năng kẻ tấn công đã có sẵn shell, và đọc file này để lấy các thông tin cần thiết như user pass, csdl ...

về phòng chống, bạn có thể đặt nó ở 1 thư mục không phải mặc định, thậm chí đổi tên ... hoặc có thể mã hóa. Tuy nhiên cho đến giờ mình chưa thật sự thấy cách nào an toàn có thể phòng chống lại mọi trường hợp thì phải.
[Up] [Print Copy]
  [Question]   Re: File config.php có dễ bị tấn công ? 17/03/2009 10:42:21 (+0700) | #3 | 173485
lequi
Member
[Minus]    0    [Plus]
Joined: 29/04/2007 18:13:32
Messages: 77
Offline
[Profile] [PM]
vote 1 phiếu cho cách:
- zend file config + chmod file này để ko thể view được
[Up] [Print Copy]
  [Question]   Re: File config.php có dễ bị tấn công ? 23/03/2009 18:14:21 (+0700) | #4 | 174288
00skull00
Member
[Minus]    0    [Plus]
Joined: 18/05/2008 03:33:56
Messages: 4
Offline
[Profile] [PM]
Mình đặt pass và user của DATABASE và của host khác nhau không biết cách này có an toàn không nhỉ?
Giả sử 2 pass là khác nhau, hacker biết đựoc pass database thì có hại không nhỉ?
[Up] [Print Copy]
  [Question]   Re: File config.php có dễ bị tấn công ? 24/03/2009 13:56:12 (+0700) | #5 | 174480
Matrix2987
Member
[Minus]    0    [Plus]
Joined: 14/06/2008 16:02:07
Messages: 8
Location: Hell
Offline
[Profile] [PM]
Mình đặt pass và user của DATABASE và của host khác nhau không biết cách này có an toàn không nhỉ?
Giả sử 2 pass là khác nhau, hacker biết đựoc pass database thì có hại không nhỉ? 


có rất an toàn, smilie nếu 2 pass là khác nhau mà chỉ biết pass của ta database thì thiệt hại là bạn sẽ bị mất data, còn host thì vô sự, nhưng dữ liệu bị mất có cái host cũng vô nghĩa àh smilie
[Up] [Print Copy]
  [Question]   Re: File config.php có dễ bị tấn công ? 24/03/2009 19:34:00 (+0700) | #6 | 174491
[Avatar]
 tranduyninh
Member
[Minus]    0    [Plus]
Joined: 05/07/2006 12:05:48
Messages: 253
Location: aiowebs.net
Offline
[Profile] [PM] [WWW] [Yahoo!]
Có ai có thể mô tả chi tiết hơn không ?
Mình thấy vẫn lờ mờ lắm
Các bạn giúp mình giải cứu bạn gái này nha : http://bit.ly/23mHJE ( đây là 1 cuộc thi đó ) không biêt các hắc cơ có ý kiến như thế nào ?
[Up] [Print Copy]
  [Question]   File config.php có dễ bị tấn công ? 24/03/2009 20:14:25 (+0700) | #7 | 174493
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

tranduyninh wrote:
Sau khi lượn qua một vòng google mình thấy có rất nhiều Website vẫn để file config.php ở public_html . vậy file này thể bị tấn công như thế nào ? cách phòng chống ra sao ?  


Trước tiên, config.php chứa gì trong đó?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: File config.php có dễ bị tấn công ? 25/03/2009 10:48:08 (+0700) | #8 | 174601
Matrix2987
Member
[Minus]    0    [Plus]
Joined: 14/06/2008 16:02:07
Messages: 8
Location: Hell
Offline
[Profile] [PM]
Trước tiên, config.php chứa gì trong đó? 


nó chứa tên host, cổng truy xuất, username và pass của data, dạng data, tên data, tên và đường dẫn truy cập control Panel, các thông tin đăng nhập và liên kết đến Host ...

Vậy có nghĩa là trên 4rum chỉ cần tấn công vào file config là có tất cả rồi. Phòng chống thì...... chưa nghĩ đến cái này bao giờ. hix
[Up] [Print Copy]
  [Question]   Re: File config.php có dễ bị tấn công ? 27/03/2009 01:26:23 (+0700) | #9 | 174865
[Avatar]
 micr0vnn
Member
[Minus]    0    [Plus]
Joined: 29/06/2006 15:52:34
Messages: 67
Offline
[Profile] [PM]
Bạn nên chmod nó thành 701 , thì 'có thể' chống được attacker xem được vì cho dù attacker uppshell lên attacker cũng chỉ có quyền guest ,www-data....v...v thôi .

Tuy không thể chống hết 100% những cũng giới hạn được. (Host linux).

CÒn host window thì permission file config quyền execute thôi.
[Up] [Print Copy]
  [Question]   Re: File config.php có dễ bị tấn công ? 27/03/2009 14:04:12 (+0700) | #10 | 174949
jforum3000
Member
[Minus]    0    [Plus]
Joined: 26/08/2007 02:53:39
Messages: 1172
Offline
[Profile] [PM]

micr0vnn wrote:
Bạn nên chmod nó thành 701 , thì 'có thể' chống được attacker xem được vì cho dù attacker uppshell lên attacker cũng chỉ có quyền guest ,www-data....v...v thôi .

Tuy không thể chống hết 100% những cũng giới hạn được. (Host linux).

CÒn host window thì permission file config quyền execute thôi. 

Nhưng sao phpbb thì lại khuyên là nên chmod 644?

Correct Chmod Values

* config.php
o 666 before installation
o 644 after installation 


Nguồn: http://www.phpbb.com/kb/article/phpbb3-chmod-permissions/
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|