بالا بردن امنیت هاست و سایت

[ebrahimgood26]

بالا بردن امنیت هاست و سایت سری اول

سلام خدمت تمام کاربران عزیز انجمن جوملا فارسی من امروز یه آموزش دارم واستون آموزش بالا بردن امنیت سایت و هاست امیدوارم این آموزش براتون جالب باشه بریم سراغ آموزش امنیت هاست و سایت:
هکرها به چند دسته تقسیم میشن عبارتند از:

Hacker: این هکران 1 قصد بیشتر ندارن اونم اینکه نشون بدن سایت شما چقدر ضعف دارد و شما به فکر بهبود اون باشید که میشه گفت هکرانه خوبی هستن

Wacker: این هکر ها بعد اینکه به سیستم یا سایت شما نفوذ میکند تمام اطلاعات شما را کپی میکنن و در بیشتر مواقع باعث تحدید طرفی که هک شده است میشود، یا به قولی همون باج گیری می شود

Preaker: از قدیمی ترین هکران هستند که کلا میشه گفت خطری ترین هکرا هستند این هکرا نیاز به نفوذ به هاست شما ندارن اونا از طریق سیم خط تلفن وای فای اینا نفوذ میکنند

سرور چیست : سرور ها کامپیوتر های معمولا قدرتمند ی هستند که با سرعت بالا به اینترنت وصل هست. هر سرور یک سیستم عامل داره که میتونه Linux یا Windows باشه ویا ... روی هر کدام از این سیستم عامل ها چند تا برنامه سرویس دهنده وصل هست مثل Apache یا Iis.


هاست چیست : به فضای روی وب رو میگن هاست حالا این فضا ها از کجا اومده این فضا ها از جایی نیومده بلکه همان هارد دیسک های روی سرور هستند.


دامین چیست : دامین رو میشه این جوری تعریف کرد که آدرس روی اینرنت رو دامین میگین.هر دامین یک آی پی هست در اصل که ما وقتی آدرس سایت رو وارد مرورگر میکنیم اون رو تبدیل به آی پی میکنه و ما سایت را میبینیم.


لینوکس چیست : لینوکس یه سیستم عامل از خانواده ی یونیکس هست که به خاطر امنیت بالا در بیشتر سرور ها استفاده میشه.

باگ چیست : باگ یعنی حفره ی امنیتی یا مشکل امنیتی که از آن طریق میتوان نفوذ کرد اکثر باگ هام توسط اشتباهات در برنامه نویسی رخ میدهد. ما باگ های زیادی در موارد مختلف داریم که مهمترین آنها در وب محدود میشه به :
XSS Cross site scripting
Sql Injection

Rfi

Lfi

WebAppliction : وب اپلیکیشن به سیستم های مدریت محتوا میگن یعنی مثل Php Nuke و Joomla وVbulletin , ...
Remote : به طور کلی میشه دسترسی از راه دور رو ریموت تعریف کرد.

Local : لوکال را می توان به دسترسی نزدیک و کامل تر از Remote تعریف کرد.

هک شدن روش های مختلفی دارد: مثلا از طریق باگ که شایع ترین باگ هم همون xss است که همون مخفف css هست که یک زبان طراحی صفحات وب است به همین علت کارشناسان به اجبار اسم این این باگ را Xss گذاشتند.یا ممکنه یه فایلو به ایمیل شما بفرستند و با باز کردن اون فایل اطلاعت شما لو میره در پایین سعی میکنم بیشتر توضیح بدم این 2 تای رو که نام بردم شایع ترین روش هک هستن .

اول باگ ها رو بهتون معرفی کنم :

sql injection
mysql
LFI
Xss

1: sql injection :

همان طور که مشاهده کردید sql injection یا تزریق کد یکی از باگ هایی هست که هر سایت ممکنه داشته باشد.
در این حالت هکر با وارد کردن کارکتر های غیر مجاز به دیتابیس باعث به وجود آمدن خطا هایی می شود که هکر با استفاده از این خطا ها می تواند اطلاعات دیتابیس را در آورده و در بعضی مواقع وارد و در بعضی مواقع یک فایل بسازد(Shell)
ما چندین نوع دیتابیس داریم که روش Inject کردن هر کدام با دیگری فرق داره
مانند Mysql , Mssql ,Access,Oracle,db2, و غیره.هر کدوم از این ها هم روی ورژن های مختلف قرار دارند

2: mysql :

همان طور که در بالا ذکر گردید هکر با وارد کردن بعضی کارکتر های غیر مجاز باعث رخ دادن خطا در دیتابیس می شود و اگر برنامه نویس هنگام فرستادن دستورات کاربر به دیتابیس هیچ کنترلی روی کارکتر های ورودی صورت ندهد دیتابیس خطا میده و هکر با استفاده از این خطا ها بدون دسترسی داشتن اطلاعات رو بیرون می کشد.
همان طوری که دوستان اطلاع دارن اطلاعات سایت که با بانک ارتباطی در ارتباط هست در اطلاعات سایت در دیتابیس ذخیره میشه حالا هکر می تواند این اطلاعات را با استفاده از خطا هایی که به وجود میاره بخواند یا وارد کند.

به نکات ذیل توجه کنید :

هکر با استفاده از کارکتر های غیر مجاز مثل (') باعث به وجو امدن خطا میشیم.
هکر از قسمت های مختلفی می تواند اینجکت کنیم مثل آدرس Url که با بانک اطلاعاتی در ارتباط باشه یا لاگین پیج یا هر جایی که باگ داشته باشه!
هکر برای بدست آوردن اطلاعات داخل دیتابیس یا وارد کردن آن باید نام جداول یا فیلد ها رو بداند بعد اطلاعات را به دست یا وارد کند. اسم تیبل و فیلد را نیاز دارد برای اینکه بتواند اطلاعات اونها رو بخواند

3: LFI

همان طور که در بالا توضیح دادم یکی از باگ ها باگ rfi هست.این باگ با بی احطیاتی برنامه نویس در استفاده از توابع Include و ... به وجود میاد.
در اصل این توابع (include , require ... ) فایل یا صفحه ای رو فراخوانی میکنن که اگر روی این درخواست کنترلی نباشه میتونه منجر به باگ Rfi یا حتی Lfi بشه.
هک Lfi یا Local File Inclusion یک نوع دسترسی لوکال به هکر برای مشاهده ی فایل های سرور مورد نظر میده (یعنی به همه چیز روی سایتتون "نه سرورتون" دسترسی پیدا می کنه!). که همانطور که ذکر شد باگ Lfi بیشتر در اشتباهات برنامه نویس در استفاده از توابعی مثل Include ,require() و غیره رخ میده.
با استفاده از این باگ حرکت های زیادی میشه کرد از جمله

1 - تبدیل آن به اجرای دستورات از راه دور با استفاده از لوگ های Apache
2 - خواندن فایل های مهم سیستمی با فایل های config


4:Xss

Xss مخفف Cross Site Scripting است اما مخفف این سه کلمه CSS مشود که یک زبان طراحی صفحات وب است به همین علت کارشناسان به اجبار اسم این این باگ را Xss گذاشتند. این باگ که یکی از فراون ترین باگ های موجود میباشد که طبق آمار 69 درصد وبسایت ها این باگ را دارن. از نظر امنیتی باگ مهمی به حساب نمیاد با استفاده از این باگ میشه روی سیستم قربانی انواع اقسام نفوذ رو انجام داد.(در قسمتی از سایت که باگ دارد شما قادر به اجرا کردن کد های JavaScript هستید که با استفاده از کد های جاوا اسکریپ کار های زیادی میشه انجام دارد!!!) . در حقیقت این باگ کمک می کنه تا هکر به سیستم نفوذ کند و سپس توسط یکی از همین روش هایی که توضیح داده شد (LFI و sql injection) سایت را هک کند.

* استفاده از شل کد :در این روش هکر از یک اسکریپت به نام شل کد استفاده می کند.ابتدا به مثال زیر جهت درک بهتر قدرت "شل" (shell) توجه نمایید:

مثلا شما امنیت سایتتون در حد بینهایت زیاده و هکر کاملا از نفوذ مستقیم به سایت شما نا امید شده.پس تصمیم می گیره که شما رو دور بزنه .به این صورت کار خود را آغاز می کند که با یک جستجوی ساده نام میزبان شما را در می آورد.مثلا میزبان شما شرکت X است.بعد چک می کند و می بیند که میزبان شما علاوه بر سایت شما 100 سایت دیگر را هم میزبانی می کند.خب شروع می کند به جستجو و با کمی جستجو اون 100 سایت را پیدا می کند.حالا نوبت به هک کردن می رسد.منتها این بار نه سایت شما.بلکه سایت همسایه ی شما!اون سایت که احتمالا ادمین آن یادش رفته اصلا حتی پسورد بیشتر از 6 کاراکتر بگذارد به راحتی هک می شود.خلاصه بعد از هک سایت همسایه ی شما ، با یک شل مخصوص که خودش اون رو دی کد کرده (نا خوانا توسط آنتی ویروس) از سرور شما دسترسی روت می گیرد (یعنی به تمام فایل های موجود در کامپیوتر سرور که میزبانی سایت شما و اون 100 سایت دیگر را بر عهده دارد دسترسی پیدا می کند) و سایت شما را هک می کند.

آموزش سری دوم را در پست جدید قرار میدهم امیدوارم مورد توجه همه کاربران عزیز بشه
باتشکر

[ebrahimgood26]

پیشنهاد های امنیتی :

سطح دسترسی فایل های دیتابیس :

بهتر است سطح دسترسی فایل های پیکربندی (config) دیتابیس ( database ) را محدود کنید. در سیستم های suphp می توانید این فایل سطح دسترسی این فایل را روی 400 تنظیم کنید و در سیستم های dso باید آن را روی 444 تنظیم کنید. بعد از تغییر سطح دسترسی برای ویرایش آن لازم است ابتدا سطح دسترسی این فایل ها را روی 644 تنظیم کنید و سپس پس از ویرایش مجدد محدود کنید.

رمزگذاری فایل های دیتابیس : برای امنیت بیشتر بهتر است این فایل ها را رمز گذاری یا کد کنید. پس از کد کردن این فایل ها حتی در صورت دسترسی هکر ها به این فایل ها اطلاعات شما به صورت کد های ناخوانا نمایش داده می شود. رمزگذاری فایل های php

سطح دسترسی فایل INDEX :

با تغییر سطح دسترسی فایل های Index در suphp روی 400 امکان ویرایش این فایل دیگر وجود ندارد البته امکان حذف آن وجود دارد به همین دلیل امنیت این روش 100 درصد نیست اما بهتر است استفاده شود. با انجام این کار ها حداقل می توانید از ورود هکر های تازه کار جلوگیری کنید.

انتقال سایر فایل های index به صفحه اصلی با htaccess :

هکر ها می توانند فایل های index دیگری روی هاست شما ایجاد کنند و با این روش صفحه آن ها لود می شود. برای جلوگیری از این مورد کافیست صفحه Index پیش فرض هاست را تغییر دهید و سایر فایل ها را به صفحه اصلی خود ری دایرکت ( Redirect) کنید. به این ترتیب در صورت ایجاد سایر فایل های index این فایل ها پیش فرض نیستند و محتوا صفحه اصلی شما تغییر نمی کنند و همچنین در صورت باز شدن مستقیم این فایل اجرا نمی شود و به صفحه اصلی شما منتقل می شود. برای امنیت بیشتر سطح دسترسی htaccess را روی 400 تنظیم کنید.

برای redirect کردن فایل ها می توانید از دستور زیر استفاده کنید :

RedirectMatch 301 /index.html http://www.damaneshoma.com/index.php

در مثال بالا با باز کردن فایل index.html آدرس به index.php تغییر می کند.


جلوگیری از اجرا شدن مستقیم سایر فایل های php :

با وارد کردن کد زیر می توانید از اجرا شدن مستقیم فایل های php جلوگیری کنید. با استفاده از این روش در صورت ایجاد سایر فایل های php روی سرور شما امکان اجرا آن وجود ندارد. برای مثال اگر یک هکر یک فایل test.php را روی هاست شما آپلود کند با اجرا آن با خطا 403 مواجه می شود. البته باید توجه داشته باشید که بعد از این کد فایل هایی که نیاز است مستقیم اجرا شوند را allow کنید.
;<Filesmatch ".(php)$"&gt
order deny,allow
deny from all
سپس فایل Index.php را allow می کنیم

<Filesmatch "^index.php"&gt
order allow,deny
allow from all

سطح دسترسی فایل های htaccess :

پس از اعمال تغییرات برای جلوگیری از تغییر محتوا این فایل ها توسط هکر ها سطح دسترسی آنها را روی 444 تنظیم کنید. توجه داشته باشید این فایل ممکن است در سایر پوشه های سایت شما هم وجود داشته باشد.

برای آدرس پنل مدیریت سیستم مدیریت محتوا خود رمز دوم ایجاد کنید :

با ایجاد رمز دوم توسط htaccess حتی در صورت وجود باگ امنیتی در فرم ورود به پنل مدیریت سیستم مدیریت محتوا یک هکر دیگر نمی تواند بدون وارد کردن نام کاربری و رمز دوم به فرم ورود دسترسی داشته باشد. البته روش های دور زدن این روش هم وجود دارد که کار ساده ای نیست.

توجه داشته باشید بهتر است از رمز های پیچیده استفاده کنید.

انتخاب رمز های مدیریت :

از انتخاب رمز های ساده خودداری کنید. هکر ها می توانند با استفاده از چند نرم افزار در کمتر از چند دقیقه رمز شما را پیدا کنند. اگر رمز شما سخت باشد زمان پیدا کردن رمز شما هم بیشتر می شود. با ایجاد رمز های بالا 13 کاراکتر (حروف و عدد) تصادفی ،پیدا کردن رمز ها ممکن است بیش از 1 ماه به زمان نیاز داشته باشد.

تغییر تمام رمز ها به صورت دوره ای :

تمام رمز ها را هر 1 ماه یکبار تغییر دهید تا هکر ها امکان پیدا کردن رمز شما را نداشته باشند.

عدم استفاده از یک رمز برای چند بخش :

برای امنیت بیشتر سایت لازم است برای هر بخش یک رمز جدید استفاده کنید. برای مثال رمز ایمیل با رمز پنل مدیریت سیستم مدیریت محتوا یا هاست یکی نباشد.

اسکن فایل های هاست در سی پنل با ClamAV

در بعضی از هاستینگ ها یک نرم افزار با نام clamav در سی پنل شما وجود دارد. توسط آن می توانید فایل های خود را اسکن کنید تا در صورت وجود فایل های مخرب آنها را حذف کنید.

عدم استفاده از سطح دسترسی بالا در هاست :

در بعضی از سیستم های مدیریت محتوا برای استفاده از چند امکان آن باید سطح دسترسی یک فایل یا پوشه را به 666 یا 777 تغییر دهید. به عنوان مثال برای آپلود شدن فایل ها و عکس ها در وردپرس لازم است سطح دسترسی پوشه uploads در سیستم های suphp به 755 و در dso به 777 تغییر داده شود. بهتر است این تغییرات را اعمال نکنید و فایل هایی که لازم است آپلود شوند را توسط سی پنل و یا ftp آپلود کنید. هکر ها می توانند با استفاده از این دسترسی فایل های خود را در این پوشه آپلود کنند اما در صورت محدود کردن این دسترسی امکان آپلود فایل های شل توسط هکر وجود ندارد.

غیر فعال کردن چند امکان سیستم های مدیریت محتوا :

در صورت امکان چند امکان سیستم مدیریت محتوا خود را غیر فعال کنید. برای مثال معمولا سیستم های مدیریت محتوا یک امکان بازیابی رمز عبور با استفاده از ارسال ایمیل دارند. به این ترتیب در صورت تغییر ایمیل توسط هکر و یا هک شدن ایمیل شما ، هکر می تواند در کمتر از چند دقیقه رمز سیستم مدیریت محتوا شما را بازیابی کند.

تغییر آدرس پنل مدیریت سیستم های مدیریت محتوا :

اگر از سیستم های مانند جوملا ، نیوک ، دیتالایف یا وردپرس استفاده می کنید بهتر است کمی در مورد تغییر آدرس مدیریت جستجو کنید. با تغییر آدرس مدیریت کار هکر ها را کمی دشوار می کنید.

تغییر پیشوند جدول (table) های دیتابیس :

بهتر است پیشوند های دیتابس خود را تغییر دهید. برای مثال پس از نصب وردپرس تمام جدول های شما یک پیشوند wp دارد. یک هکر می تواند برای وارد شدن به جدول های شما توسط دستوارتی که از متد Get به سرور وارد می کند به جدول های شما وارد شود و خروجی اطلاعات را مشاهده کند. با تغییر پیشوند ها هکر نمی تواند پیشوند ها را حدس بزند. برای سیستم وردپرس پلاگین های امنیتی زیادی وجود دارد که این کار را انجام می دهند. برای سایر سیستم های مدیریت محتوا کافیست کمی جستجو کنید.

تغییر نام کاربری ادمین :

معمولا کاربران برای ورود به پنل مدیریت از نام کاربری admin استفاده می کنند. بهتر است برای امنیت بیشتر این نام کاربری را تغییر دهید. معمولا هکر ها سعی می کنند با استفاده از نرم افزار ها رمز های کاربری admin را تست می کنند.


عدم استفاده از قالب ها و با پلاگین های غیر معتبر:

سعی کنید تمام پلاگین ها و یا قالب های که برای سیستم مدیریت محتوا خود دانلود می کنید از سایت های معتبر دانلود کنید. ممکن است در قالب یا پلاگین های شما فایل شل یا ویروسی وجود داشته باشد که با آپلود این قالب ها یک دسترسی هم برای هکر ها ایجاد کرده اید.

اتمام آموزش امیدوارم این آموزش براتون مفید بود با تشکر از همه کاربران عزیز