Mẹo nhỏ bảo mật PHP trong môi trường Web-Hosting trang này đã được đọc lần Bạn là một admin trông coi các web-hosting. Bạn muốn các vhost chỉ được phép truy cập đến các file của vhost đó và cấm tất cả các vhost thực thi các lệnh gọi hệ thống qua PHP. File php.ini có sẵn 3 tùy chọn cấu hình để bạn hoàn thành việc này: safe_mode=on // bật chế độ an toàn open_basedir= // cô lập truy cập file trong thư mục safe_mode_exec_dir= // cô lập lệnh gọi hệ thống trong thư mục Đây là ví dụ mẫu dành cho bạn tham khảo: # mkdir /usr/local/none # vi /usr/local/apache/conf/php.ini safe_mod=on safe_mode_exec_dir=/usr/local/none # vi /usr/local/apache/conf/httpd.conf NameVirtualHost 10.0.0.1:80 ServerName *.domain1.com DocumentRoot /home/vhost/domain1.com/htdocs CustomLog /home/vhost/domain1.com/logs/access_log combined ErrorLog /home/vhost/domain1.com/logs/error_log php_admin_flag engine on php_admin_value open_basedir "/home/vhost/domain1.com/htdocs:/tmp" ServerName *.domain2.com DocumentRoot /home/vhost/domain2.com/htdocs CustomLog /home/vhost/domain2.com/logs/access_log combined ErrorLog /home/vhost/domain2.com/logs/error_log php_admin_flag engine on php_admin_value open_basedir "/home/vhost/domain2.com/htdocs:/tmp" # /usr/local/apache/bin/apachectl restart Đầu tiên bạn tạo thư mục trống /usr/local/none bằng lệnh mkdir. Các vhost có thể gọi hàm gọi hàm system(), exec() hoặc passthru(), nhưng do bạn đã đặt safe_mode_exec_dir=/usr/local/none trong file php.ini nên họ không thể chạy ls, cat, ngoài thư mục /usr/local/none (root.root - dwrx-rx-rx). domain1.com chỉ có thể mở các file trong thư mục /home/vhost/domain1.com/htdocs và /tmp. domain1.com không được phép truy cập đến các file trong thư mục /home/vhost/domain2.com/htdocs của domain2.com do bạn đã set open_basedir cho domain1.com là "/home/vhost/domain1.com/htdocs:/tmp". domain2.com cũng tương tự như vậy. Lỗi bảo mật ở một số website Việt Nam trang này đã được đọc lần Trong hai năm qua, những vụ tấn công vào các website Việt Nam ngày càng trở nên trầm trọng. Điển hình trong số đó là các vụ tấn công như: Tháng 8/2001, 60 website có đuôi .com.vn và .saigonnet.vn bị tấn công ồ ạt, nội dung của những trang web này đã bị kẻ xấu thay đổi hoàn toàn. Tháng 21/11/2001, 156 website đặt tại server của Công ty VDC bị làm biến dạng chỉ trong vòng chưa đầy một phút. Vụ tấn công này làm rất nhiều site phải ngừng hoạt động hơn mười tiếng đồng hồ vì kẻ tấn công đã xóa hết tất cả dữ liệu sao lưu (backup data) của VDC. Bước sang năm 2002, số vụ tấn công càng nhiều với mức độ ngày càng nghiêm trọng. Điển hình là trong liên tiếp trong hai ngày 16/3/2002 và 18/3/2002, www.vnn.vn, website được xem là bộ mặt của Internet Việt Nam bị “đánh sập” (deface). Ngày 4/6/2002, website www.vietcombank.com.vn của Ngân hàng Vietcombank bị tấn công và theo như chúng tôi biết, kẻ xấu đã đánh cắp được thông tin thẻ tín dụng hơn 30 khách hàng của Vietcombank. Cũng trong năm 2002, nổi lên sự kiện kẻ xấu tấn công vào máy chủ của Công ty FPT và đưa ra danh sách e-mail của hơn 28.000 khách hàng đăng ký sử dụng dịch vụ Internet của nhà cung cấp dịch vụ Internet (ISP) này. Đặc biệt, ngày 1/11/2002, những kẻ chuyên tấn công vào những website Việt Nam tập hợp lại với nhau để trình diễn màn “liveshow” xâm nhập (hack) trực tiếp vào các server của các ISP như VDC, FPT, Vietel, Cũng trong tháng 11/2002, website www.vnn.vn lại bị tấn công, kẻ xấu tuy không đạt được mục đích là deface song vẫn làm cho website này phải ngưng trệ hoạt động trong hơn ba ngày. Tiếp theo sau đó, VnExpress, một trong các báo điện tử lớn nhất Việt Nam, bị deface liên tiếp nhiều lần trong một thời gian ngắn. Bước sang năm 2003, tâm lý chung của mọi người là số vụ tấn công sẽ tiếp tục tăng. Tuy nhiên, khá bất ngờ là từ đầu năm 2003 đến nay, hầu như chưa có một vụ tấn công nghiêm trọng nào vào các website cũng như server ở Việt Nam. Phải chăng các ISP, các doanh nghiệp có website/server riêng đã có ý thức hơn trong vấn đề bảo mật? Không! Nhận thức về vấn đề bảo mật của các ISP nói chung còn rất kém, lỗi bảo mật còn đầy rẫy ở các website có đuôi là .vn. Thậm chí, một người có kiến thức trung bình kém về bảo mật nói riêng và máy tính nói chung vẫn có thể dễ dàng hạ gục một website .vn trong vòng năm phút. Nguyên nhân chính của hiện tượng các vụ tấn công trong năm 2003 không rầm rộ như năm 2002: Nhữäng kẻ tấn công đã bắt đầu chuyển hướng, từ mục đích tấn công để vui chơi, để chứng tỏ mình sang tấn công để trục lợi. Những kẻ tấn công âm thầm xâm nhập vào hệ thống của các ISP, các doanh nghiệp, các ngân hàng để đánh cấp và thay đổi thông tin nhằm mục đích đem lại “nguồn lợi” cho mình. Ví dụ như tấn công vào hệ thống lưu trữ cước phí Internet của các ISP để sửa xóa cước phí, hoặc tấn công vào các website dự đoán trúng thưởng để sửa kết quả nhằm giành lấy giải thưởng; thậm chí tấn công vào những website trọng yếu nhằm đánh cắp mã nguồn của những website này. Ngoài ra, một số kẻ xấu đang âm thầm xâm nhập vào các website của một số cơ quan nhà nước nhằm mục đích tìm kiếm thông tin nhạy cảm hoặc để bôi nhọ, làm nguy hại đến thể diện, uy tín của quốc gia. Nhận thức được mối nguy hiểm trong hoạt động của những người này, HVA đã bí mật tìm hiểu mức độ bảo mật và những lổ hổng của một số website/server thuộc hệ thống các ISP như VDC,FPT, Vietel, NetNam, cũng như những website/server thuộc các doanh nghiệp như VASC, Vietcombank, TRG International, Công viên Phần mềm Quang Trung, Netsoft và các website của Nhà nước như www.seagames22.com.vn, VNPT, VNNIC Sau khi xem xét cẩn thận, HVA đã soạn thảo tài liệu liên quan đến từng lỗi bảo mật trong những website trên, mức độ nghiêm trọng của chúng, cũng như cách phòng chống hiệu quả nhất và xin trao lại hoàn toàn miễn phí cho các chủ sở hữu liên quan. . Mẹo nhỏ bảo mật PHP trong môi trường Web-Hosting trang này đã được đọc lần Bạn là một admin trông coi các web-hosting. Bạn muốn các vhost chỉ được. nghiệp có website/server riêng đã có ý thức hơn trong vấn đề bảo mật? Không! Nhận thức về vấn đề bảo mật của các ISP nói chung còn rất kém, lỗi bảo mật còn đầy rẫy ở các website có đuôi là .vn vậy. Lỗi bảo mật ở một số website Việt Nam trang này đã được đọc lần Trong hai năm qua, những vụ tấn công vào các website Việt Nam ngày càng trở nên trầm trọng. Điển hình trong số đó