Nội quy chuyên mục: - Khu vực dành riêng để giải đáp các thắc mắc liên quan đến việc cài đặt NukeViet trên hosting và localhot
- Vấn đề về cài đặt các module khác vui lòng đặt câu hỏi tại khu vực dành cho module đó.
- Nếu không tìm thấy khu vực thích hợp vui lòng đặt câu hỏi tại [url=http//nukeviet.vn/phpbb/viewforum.php?f=1063ccxl4ca]đây[/url3ccxl4ca]
- Các bài viết không phù hợp sẽ bị xóa mà không cần báo trước.
#94458 gửi bởi vuthao
Ngày 24 Tháng 08 2011 , 00:58
Trong thời gian gần đây có khoảng 8 site thông báo bị hack, và các bạn đều thông báo bị khai thác qua module users.

Chúng tôi đã kiểm tra lại và chưa phát hiện vấn đề về bảo mật của NukeViet 3. Tất cả các site bị hack đều thông qua hack local.

Để nâng cao bảo mật cho web site các bạn nên thực hiện theo bài viết sau: http://wiki.nukeviet.vn/nukeviet:security

Trong bài viết có nhiều biện pháp nâng cao khả năng bảo vệ cho site của bạn, quan trọng nhất là bảo vệ được file config.php và file includes\constants.php bằng cách thay đổi vị trí lưu file config.php và mã hóa cả hai file này. Với các website có điều kiện bạn nên sử dụng server riêng hoặc VPS để chống việc hack local.

Khi site của bạn bị hack cần thực hiện các biện pháp sau:
- Đóng của site ngay lập tức (nên đóng tất cả các dịch vụ: web, FTP, mail.... trên cùng máy chủ). không sửa đổi hoặc xóa bất kể file nào.
- Download toàn bộ code, CSDL,và logs hosting. nếu bạn không đủ khả năng kiểm tra bị hack như thế nào liên hệ với chúng tôi để được giúp đỡ.
(file logs hosting khá quan trọng để tìm ra nguyên nhân).
Sửa lần cuối bởi laser vào Ngày 26 Tháng 05 2012 , 09:23, với tổng số 1 lần sửa.
Nguyên nhân: Thay đổi link hướng dẫn
#94513 gửi bởi dcomp
Ngày 24 Tháng 08 2011 , 08:35
thanks bác VuThao, em hơi bị gà nên hỏi bác tý (tại hỏi chỗ khác ko ai nói)
- thế nào là hack local, em thấy mấy 4rum nói nhiều đến nó, nhưng hỏi ko trả lời - bác có thể cho em link đến chỗ nào giải rõ về cái này đc hem ? (phải biết nó thế nào thì mới phòng chống đc chứ)
- logs hosting: cái log này là của host hay là log của Nukeviet trên host ạh ?
- down CSDL: bằng phpMyAdmin của host hay bằng chức năng Backup của Nuke ? chức năng Backup của Nuke có lưu lại được toàn bộ CSDL đầy đủ không ạh ?

http://createweb4free.cf
#94518 gửi bởi nnhlinh
Ngày 24 Tháng 08 2011 , 09:45
Dcomp đã viết:thanks bác VuThao, em hơi bị gà nên hỏi bác tý (tại hỏi chỗ khác ko ai nói)
- thế nào là hack local, em thấy mấy 4rum nói nhiều đến nó, nhưng hỏi ko trả lời - bác có thể cho em link đến chỗ nào giải rõ về cái này đc hem ? (phải biết nó thế nào thì mới phòng chống đc chứ)
- logs hosting: cái log này là của host hay là log của Nukeviet trên host ạh ?
- down CSDL: bằng phpMyAdmin của host hay bằng chức năng Backup của Nuke ? chức năng Backup của Nuke có lưu lại được toàn bộ CSDL đầy đủ không ạh ?

Google Search : http://www.google.com.vn/webhp?hl=vi#sclient=psy&hl=vi&site=webhp&source=hp&q=+hack+local&pbx=1&oq=+hack+local&aq=f&aqi=g4&aql=&gs_sm=s&gs_upl=0l0l1l869l0l0l0l0l0l0l0l0ll0l0&fp=81b82957032dc3f6&biw=1024&bih=639
Đọc từ link 1 đến 10 sẽ hiểu được căn bản! :)
Làm theo bài hướng dẫn em CHMODE file config.php 400 -> trang chủ trắng toát luôn! :-SS
Áp dụng được 1 số, một số không áp dụng được!

“To be or not to be, that's a question'' - Tồn tại hay không tồn tại ? - Tôi tư duy nghĩa là tôi tồn tại. Hamlet - Shakespeare Hasitec Co.Ltd : http://hasitec.vn & http://hasitec.com.vn
#94523 gửi bởi hoaquynhtim99
Ngày 24 Tháng 08 2011 , 12:29
@Dcomp:

down CSDL: Bạn có thể dùng chức năng của host hay nukeviet đều được
logs hosting: Cái này la file log của host không phải của nukeviet bạn.
hack local: Bạn có thể lên google tìm, có rất nhiều

Hãy sống là chính mình, bình thường nhưng không tầm thường.
#94532 gửi bởi dcomp
Ngày 24 Tháng 08 2011 , 15:00
nnhlinh đã viết:
Dcomp đã viết:thanks bác VuThao, em hơi bị gà nên hỏi bác tý (tại hỏi chỗ khác ko ai nói)
- thế nào là hack local, em thấy mấy 4rum nói nhiều đến nó, nhưng hỏi ko trả lời - bác có thể cho em link đến chỗ nào giải rõ về cái này đc hem ? (phải biết nó thế nào thì mới phòng chống đc chứ)
- logs hosting: cái log này là của host hay là log của Nukeviet trên host ạh ?
- down CSDL: bằng phpMyAdmin của host hay bằng chức năng Backup của Nuke ? chức năng Backup của Nuke có lưu lại được toàn bộ CSDL đầy đủ không ạh ?

Google Search : http://www.google.com.vn/webhp?hl=vi#sclient=psy&hl=vi&site=webhp&source=hp&q=+hack+local&pbx=1&oq=+hack+local&aq=f&aqi=g4&aql=&gs_sm=s&gs_upl=0l0l1l869l0l0l0l0l0l0l0l0ll0l0&fp=81b82957032dc3f6&biw=1024&bih=639
Đọc từ link 1 đến 10 sẽ hiểu được căn bản! :)
Làm theo bài hướng dẫn em CHMODE file config.php 400 -> trang chủ trắng toát luôn! :-SS
Áp dụng được 1 số, một số không áp dụng được!

Ối zồi.... Ôi..! sợ qé @-) @-) @-)
chả cần đọc từ 1 đến 10, lướt qua 3 bài, em thấy local nguy hỉm quá... :-S có gì chúng nó mò ra hết... :-$
chết thật, hàng họ lộ hết trơn, ghê sợ.. ghê sợ... :-SS :-SS

http://createweb4free.cf
#94833 gửi bởi xuanthao
Ngày 28 Tháng 08 2011 , 22:19
vuthao đã viết:Trong thời gian gần đây có khoảng 8 site thông báo bị hack, và các bạn đều thông báo bị khai thác qua module users.

Chúng tôi đã kiểm tra lại và chưa phát hiện vấn đề về bảo mật của NukeViet 3. Tất cả các site bị hack đều thông qua hack local.

Để nâng cao bảo mật cho web site các bạn nên thực hiện theo bài viết sau: http://nukeviet.vn/vi/documentation/An- ... ukeViet-3/

Trong bài viết có nhiều biện pháp nâng cao khả năng bảo vệ cho site của bạn, quan trọng nhất là bảo vệ được file config.php và file includes\constants.php bằng cách thay đổi vị trí lưu file config.php và mã hóa cả hai file này. Với các website có điều kiện bạn nên sử dụng server riêng hoặc VPS để chống việc hack local.

Khi site của bạn bị hack cần thực hiện các biện pháp sau:
- Đóng của site ngay lập tức (nên đóng tất cả các dịch vụ: web, FTP, mail.... trên cùng máy chủ). không sửa đổi hoặc xóa bất kể file nào.
- Download toàn bộ code, CSDL,và logs hosting. nếu bạn không đủ khả năng kiểm tra bị hack như thế nào liên hệ với chúng tôi để được giúp đỡ.
(file logs hosting khá quan trọng để tìm ra nguyên nhân).

Cho mình hỏi là nếu sửa theo hướng dẫn trên thì có ảnh hưởng gì trong việc update reversion không vây?

DEMO NUKEVIET : http://giaoduckyson.oni.cc
#95972 gửi bởi inviet
Ngày 13 Tháng 09 2011 , 03:14
Trả lời nhanh cho các bạn nhé.

1. Nếu các bạn làm web để quảng bá hình ảnh doanh nghiệp thôi thì tốt nhất là cố gắng hết sức có thể thực hiện theo các chỉ dẫn chống hack đơn giản, cái nào thực hiện mà web bị lỗi thì mở cái đó ra lại. vì hacker không rảnh làm thịt các website bé bé làm gì mất thời gian (còn các bé mới học hack thì sẽ chán khi mò mãi chưa ra :) tự nó sẽ chuyển hướng đến các site khác). Nên backkup toàn bộ site mỗi tuần 1 lần để đề phòng del all web thì restore lại.
2. Nếu làm site tương đối lớn mang tính quan trọng (tùy hiểu nhé) hoặc làm site cho người khác thì phải nghiêm túc trong vấn đề bảo mật, tốt nhất nên học thêm về bảo mật.
3. Chẳng có gì là ok hết, cỡ sony mà còn bị chơi nguyên cái server để lộ tài khoản của khách hàng hết trơn. (Hacker đã nhắm vào cái nào gần như chết cái đó)

Các bạn đừng quá lo lắng nhé, làm sơ sơ theo hướng dẫn hạn chế hack baby là ok
#96499 gửi bởi vuthao
Ngày 21 Tháng 09 2011 , 05:21
Với các site sử dụng NukeViet 3 Trên IIS7 (Windows server 2008, Windows 7). Do file .htaccess không hoạt động nên cần thêm và sửa các file như sau:

1) file web.config ở rootsite
tìm đến dòng:
Mã: Chọn hết
<system.webServer>


Thêm xuống dưới đoạn sau:
Mã: Chọn hết
<security>
<requestFiltering>
<hiddenSegments>
<add segment="cache" />
<add segment="includes" />
<add segment="language" />
<add segment="logs" />
<add segment="sess" />
</hiddenSegments>
</requestFiltering>
</security>

Nếu bạn đã đổi tên thư mục: cache, logs, sess cần sửa lại đoạn security cho đúng.

2) Trong thư mục data thêm file web.config với nội dung sau
Mã: Chọn hết
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<security>
<requestFiltering>
<fileExtensions>
<add fileExtension=".xml" allowed="true" />
<add fileExtension=".php" allowed="false" />
<add fileExtension=".log" allowed="false" />
</fileExtensions>
</requestFiltering>
</security>
</system.webServer>
</configuration>


3) Trong thư mục: files, tmp, uploads thêm file web.config với nội dung sau:
Mã: Chọn hết
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<security>
<requestFiltering>
<fileExtensions>
<add fileExtension=".php" allowed="false" />
</fileExtensions>
</requestFiltering>
</security>
</system.webServer>
</configuration>


4) Trong tất cả các thư mục của module (ví dụ modules/news) thêm file web.config với nội dung sau:
<?xml version="1.0" encoding="UTF-8"?>
Mã: Chọn hết
<configuration>
<system.webServer>
<security>
<requestFiltering>
<hiddenSegments>
<add segment="admin" />
<add segment="blocks" />
<add segment="funcs" />
<add segment="language" />
</hiddenSegments>
<fileExtensions>
<add fileExtension=".php" allowed="false" />
</fileExtensions>
</requestFiltering>
</security>
</system.webServer>
</configuration>

Với từng module sẽ có thể không có các các thư mục: admin, blocks, language ... Cần sửa file web.config cho phù hợp