Hỏi về cách bảo mật host

17A95 · 27-08-2009, 08:35 AM

Mình đang quản trị 1 trang web, host đăng ký tại pavietnam. Tuần rồi bị 1 ****er mũ trắng (tự nhận) thay đổi trang home thành cái hình cảnh báo là trang bị lỗi bảo mật.
Dạo 1 vòng trên web thì thấy đa phần là kiểu tấn công local, tức là cài shell trên host rồi truy vấn các tài khoản hoặc sửa file. Cách phòng chống là chmod (đặt quyền) cho thư mục và file cho đúng thì hạn chế đc **** local.
Xin hỏi quản trị diễn đàn mình chmod như thế nào?
Cảm ơn.
PS: đang rất là tức, mong đc giúp đỡ

myhanh · 27-08-2009, 08:54 AM

Nói chung là ****er như ăn trộm vậy nó cứ rình mò trong bóng tối, vạch lá tìm sâu thì sao không ra sâu. Mà em biết rùi đó cuộc chiến giữa bảo mật và attacker như là cuộc chiến giữa thiện và ác. Cuộc chiến này xuất hiện khi nhân loại xuất hiện và không bên nào thắng. Có chăng chỉ là những chiến thắng tạm thời.
Do đó, để bảo mật cho host có nhiều best practises:
(=> nếu host thuê thì apply những cái nào thuộc control của mình)
+Tắt bớt những dịch vụ mình không dùng đến
+Tắt các port nào không dùng đến
+Patch những bản vá lỗi mới nhất, kịp thời cho các phần mềm chạy trên host.
+Sử dụng mật khẩu mạnh, thường xuyên đổi mật khẩu (45 ngày).
+Kiểm tra các đường upload file, đảm bảo các file upload là an toàn, không thực thi được.
+Đặt quyền hợp lý cho các remote user.
+Thường xuyên kiểm tra log file để phát hiện bất thường.
+Thường xuyên backup.
Ai biết gì thì bổ sung nha ...
Việc deface trang web có nhiều phương pháp:
-Lợi dụng kẻ hở trong code của web để chỉnh sửa trang web.
-Lợi dụng SQL injection để lấy mật khẩu admin.
-Lợi dụng việc upload không antoàn để cài backdoor
-Tài khoản admin quá dễ bẻ khoá (dùng mật khẩu yếu, dễ dò).
-Tài khoản email admin dễ bẻ khoá.

myhanh · 27-08-2009, 09:03 AM

Riêng phần chmod như thế nào thì tuỳ loại ứng dụng:
(file owner là user làm process owner của web server).
Nếu thư mục này dùng để upload tài liệu lên hiển nhiên là 700 rùi.
Nếu thư mục này chỉ chứa source web thì nên chmod thành 500.
Nếu web của mình chạy một số schedule job (chạy bằng script như PHP. Perl, Python, Ruby, ....) thì phải cho phép tài khoản người dùng được phép truy xuất các script cần chạy, thư mục cần ghi thì được phép ghi.
Tuy nhiên khi sử dụng host thuê có rất nhiều hạn chế. Một số host họ đặt chế độ quyền thừa kế thì mình không đổi theo ý mình được.
Nếu host Windows thì không dùng khái nhiệm trên mà dùng quyền đọc/ghi/thực thi/... để set.

17A95 · 27-08-2009, 03:03 PM

Cám ơn anh đã trả lời. Host em đề cập ở đây là shared host, source web là joomla + virtuemart, địa chỉ đây [Đăng nhập để xem liên kết. ].
Anh chưa trả lời em, các file và thư mục của diễn đàn lqdlongan.com chmod như thế nào?