1. Tài khoản + Mật khẩu đơn giản: tài khoản dễ đoán như: admin, admin123, 123456, ....
Các tài khoản và password dễ đoán sẽ được lưu trong 1 danh sách, và sẽ được quét tự động. Nếu tài khoản nào vào được sẽ báo cho hacker.
Như vậy ở đây phải có 2 cách chống:
1 chống tự động : có thể dụng plugin KSECURE plugịn(tự tìm hiểu free), RS Fire wall extension (cái này có phí)
Thêm mật khẩu cấp 2(ý nói là muốn vào administrator thì qua 1 bước nữa). Dùng KSECURE http://diendan.joomlaviet.vn/threads/bao-ve-thu-muc-administrator-voi-ksecure.704/
2 tài khoản mật khẩu phức tạp hơn: cái này hãy đặt cả tài khoản và mật khẩu khác: vd webadmin, pass: Pass%2
2.
Lỗ hổng của Joomla (phiên bản) (không dùng joomla 1.5 nữa, bây giờ sử
dụng 2.5, 3.1 - theo kế hoạch joomla năm 2014 thì 2.5 cũng không còn hỗ
trợ)Thêm mật khẩu cấp 2(ý nói là muốn vào administrator thì qua 1 bước nữa). Dùng KSECURE http://diendan.joomlaviet.vn/threads/bao-ve-thu-muc-administrator-voi-ksecure.704/
2 tài khoản mật khẩu phức tạp hơn: cái này hãy đặt cả tài khoản và mật khẩu khác: vd webadmin, pass: Pass%2
Vd: Lỗ hổng phiên bản có thể hacker đăng ký tài khoản thường user nhưng có thể kèm theo group thuộc nhóm super admin.
.....
----------------------
Lỗi này thì nhiều thể loại nhưng mục đích cuối cùng là chiếm quyền admin.
Mấy lần đầu mình bị hack mình cũng đặt câu hỏi: giả sử là hacker vào được admin rồi thì sẽ làm gì để kiểm soát?
Thật ra thì vào được admin rồi thì hacker sẽ cố cấu hình website cho phép up file php (file php thường là shell, upload manager file php ...) cho phép xem tất cả các file,edit, download giống như FTP vậy.
Và rồi chỉ cần 1 đoạn code hoặc xóa file, redirect link đến site khác, thêm 1 đoạn js thay đổi event ....
Khi làm joomla mình cảm thấy giống như là 1 cuộc chạy đua phiên bản. Có thể 1-2 ngày là ra bản vá lỗi.
Cách ngăn chặn quyết định không cho truy cập admin (mật khẩu 2 cấp, chống tự động .... ) làm rất hiệu quả.
0 nhận xét:
Đăng nhận xét