Thông tin: Đây chỉ là nơi lưu dữ liệu cũ. Thao thác đăng nhập đã bị khóa. Vui lòng truy cập trang mới tại địa chỉ https://vinabb.vn/.

Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Nơi bạn có thể gửi các yêu cầu trợ giúp khi sử dụng phpBB.

Điều hành viên: Support Team

Nội quy chuyên mục
1. Tìm kiếm trước khi đặt câu hỏi để tránh trùng lặp.
2. Mỗi chủ đề chỉ gửi một câu hỏi, bạn được phép tạo nhiều chủ đề nếu có nhiều câu hỏi.
3. Tên chủ đề vui lòng ghi rõ ràng, không chung chung hay “cầu cứu” ai đó.
4. Không đặt câu hỏi trong chủ đề của người khác nếu không cùng vấn đề.
5. Các câu hỏi trong chuyên mục này chỉ dành cho các chức năng sẵn có của bản phpBB gốc. Chuyển trang nếu bạn bạn hỏi về MOD hay giao diện.
6. Bật chế độ DEBUG (mở config.php và xóa dấu // trước 2 dòng cuối) khi gửi câu hỏi liên quan đến lỗi SQL.
Hình đại diện
nedka
Người sáng lập VinaBB
Người sáng lập VinaBB
Bài viết: 2866
Ngày tham gia: 30 Th.4 2006, 11:30
Giới tính: Nam
Nơi ở: $user->data['user_from']
Liên hệ:

Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi nedka » 26 Th.6 2007, 03:07

Có 3 lý do để bạn thực hiện điều này:

Một là, đây là tập tin quan trọng chứa tài khoản CSDL của bạn, bao gồm: tên CSDL, tên đăng nhập CSDL và mật khẩu đăng nhập CSDL. Khi bạn để lộ 3 thông tin này cho người khác, họ đã đủ điều kiện cần và đủ để truy cập vào CSDL của bạn bằng nhiều đường khác nhau, có thể bằng một phần mềm quản lý SQL cũng được. Bởi vì thông thường, CSDL có Host Name truy cập chính là tên miền đang sử dụng và cổng mặc định là 3306. Bạn nghĩ đến việc thay đổi cổng? Việc này dường như quá tầm với của bạn khi sử dụng các gói hosting chung với người khác.

Hai là, bình thường một kẻ cố truy cập trực tiếp tập tin config.php của bạn sẽ cho ra một trang trắng trên trình duyệt. Nhưng nếu giả sử trình biên dịch PHP trên máy chủ của bạn gặp sự cố (hoặc khi nâng cấp server, dịch vụ hosting thường tắt hết các trình biên dịch PHP), các tập tin PHP không còn được biên dịch để trả kết quả về trình duyệt người xem nữa, nó sẽ xuất ra "hết thảy những gì mình có" lên trình duyệt. Khi đó kẻ truy cập đó có thể xem tất tần tật tập tin config.php của bạn bằng trình duyệt.

Ba là, dù không có chuyện gì xảy ra, một khi biết được tên tập tin config.php của bạn và vị trí của nó, kẻ tấn công bạn vẫn có thể sử dụng lệnh include() từ một nơi nào khác, "include" tập tin config.php trên máy chủ bạn rồi xuất ra các biến: $dbhost, $dbname, $dbuser và $dbpasswd trong tập tin kết quả của chúng.

Để giải quyết vấn đề, thường thì có người đề xuất di chuyển tập tin config.php ra khỏi thư mục wwwroot hay httpdocs trên máy chủ để không bị truy cập từ trình duyệt. Nhưng nếu bạn cài 2 forum trở lên thì sao? Và có thể bạn không được phép upload ngoài thư mục wwwroot/httpdocs khi sử dụng chung hosting. Đơn giản là bạn chỉ cần đổi tên lại tập tin config.php của mình, càng "kinh khủng" bao nhiêu càng an toàn bấy nhiêu. Quan trọng là bạn phải tắt chức năng duyệt thư mục trực tiếp (Directory Browsing) trên máy chủ của mình.

Bạn hãy mở tập tin common.php (cùng thư mục với config.php) ra và tìm 2 dòng sau:

Mã: Chọn hết

if (!file_exists($phpbb_root_path . 'config.' . $phpEx))

Mã: Chọn hết

require($phpbb_root_path . 'config.' . $phpEx);

Mở tiếp tập tin style.php (cũng cùng thư mục với config.php) ra và tìm dòng:

Mã: Chọn hết

require($phpbb_root_path . 'config.' . $phpEx);

Mở tiếp tập tin download/file.php và tìm dòng:

Mã: Chọn hết

require($phpbb_root_path . 'config.' . $phpEx);

Sửa lại chữ config trong 4 dòng trên thành bất cứ cái gì bạn thích, càng dài càng "kinh dị" càng tốt. Xong lưu lại tập tin common.php, style.php, download.php rồi đổi tên tập tin config.php trên máy chủ của bạn thành tên mới như bạn đã sửa ở 4 dòng trên. Nhớ cẩn thận, sau khi đổi tên chữ config trong dấu ' ' phải có dấu chấm ở cuối.
Last edited by nedka on 19 Th.2 2008, 13:57, edited 6 time in total.
Lý do: Cập nhật download/file.php
٩(●̮̮̃●̃)۶٩(•̮̮̃•̃)۶٩(-̮̮̃-̃)۶٩(●̮̮̃•̃)۶٩(͡๏̯͡๏)۶٩(-̮̮̃•̃)۶
ITandTI
Đang tập cài phpBB
Đang tập cài phpBB
Bài viết: 7
Ngày tham gia: 11 Th.3 2008, 11:21
Giới tính: Nam
Tên thật: Nguyen Phi Hung

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi ITandTI » 13 Th.3 2008, 18:59

Thank admin, Tick bài này lên để đễ chú ý.
evikins
Đang tập cài phpBB
Đang tập cài phpBB
Bài viết: 2
Ngày tham gia: 03 Th.4 2008, 08:48
Giới tính: Nam

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi evikins » 08 Th.4 2008, 13:21

Với bản 3.0.1 cần sửa thêm ở file style.php

Mã: Chọn hết

require($phpbb_root_path . 'config.' . $phpEx);
Hình đại diện
nedka
Người sáng lập VinaBB
Người sáng lập VinaBB
Bài viết: 2866
Ngày tham gia: 30 Th.4 2006, 11:30
Giới tính: Nam
Nơi ở: $user->data['user_from']
Liên hệ:

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi nedka » 10 Th.4 2008, 04:05

evikins đã viết:Với bản 3.0.1 cần sửa thêm ở file style.php

Mã: Chọn hết

require($phpbb_root_path . 'config.' . $phpEx);

Có ở trên rồi mà ta :))
٩(●̮̮̃●̃)۶٩(•̮̮̃•̃)۶٩(-̮̮̃-̃)۶٩(●̮̮̃•̃)۶٩(͡๏̯͡๏)۶٩(-̮̮̃•̃)۶
OldUncle
Đang tập cài phpBB
Đang tập cài phpBB
Bài viết: 1
Ngày tham gia: 27 Th.4 2008, 21:05
Giới tính: Nam
Tên thật: Nguyễn Ngọc Thái Hà

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi OldUncle » 27 Th.4 2008, 21:08

Bạn nào cài Brigde Joomla thì tới {root_of_joomla}\plugins\authentication\phpbb3.php

Tìm đến dòng 66.

Sửa chữ 'config.php' lại. :-B
doviet
Đang tập cài phpBB
Đang tập cài phpBB
Bài viết: 13
Ngày tham gia: 13 Th.5 2008, 09:19
Giới tính: Nam
Liên hệ:

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi doviet » 13 Th.5 2008, 09:29

Anh nedka cho em hỏi! Ở trên anh có kể đến trường hợp hacker dùng include("config.php") rồi đọc $dbhost, $dbname, $dbuser và $dbpasswd, thế nghĩa là gã đó có thể viết lệnh PHP thoải mái trên host, tức là có thể dùng fopen() hay file() hay bất cứ cái gì tương tự để đọc thẳng nội dung files rồi. Thế thì trường hợp này đâu thể bảo vệ được, dù là đổi tên file config.php hay ném nó vào thư mục khác?
Hình ảnh
Hình đại diện
tiennam
Không thể sống thiếu phpBB
Không thể sống thiếu phpBB
Bài viết: 327
Ngày tham gia: 16 Th.6 2007, 22:51
Giới tính: Nam
Tên thật: Nguyễn Tiến Nam
Nơi ở: 河内市
Liên hệ:

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi tiennam » 18 Th.6 2008, 21:45

Cái này sửa trước khi up lên host hay ntn nhỉ?
Hình đại diện
Autinhyeu
Điều hành viên chính của VinaBB
Điều hành viên chính của VinaBB
Bài viết: 764
Ngày tham gia: 17 Th.3 2008, 22:41
Giới tính: Nam
Tên thật: Autinhyeu
Nơi ở: Thành phố Hồ Chí Minh
Liên hệ:

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi Autinhyeu » 18 Th.6 2008, 21:46

Sửa sau khi cài đặt xong phpbb3 (có nghĩa là up lên host, cài đặt xong, sửa :D)
Site cá nhân :P | http://www.autinhyeu.com
http://2007.vinabb.vn | Cộng đồng phpbb Việt
HNSV Community Free Forum (Diễn đàn miễn phí hàng đầu :) ) | http://www.hnsv.com

Support hết mình | Spam nhiệt tình :D
Không hỗ trợ qua PM & Y!H. Thanks.
Hình đại diện
[V]inh[T]ien
Trùm phpBB tại Việt Nam
Trùm phpBB tại Việt Nam
Bài viết: 510
Ngày tham gia: 07 Th.2 2008, 23:08
Giới tính: Nam
Tên thật: [V]inh[T]ien
Nơi ở: Cantho
Liên hệ:

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi [V]inh[T]ien » 18 Th.6 2008, 21:48

Sửa sau khi cài trên host bạn ạ rùi hãy đổi tên! Vì lúc cài phpBB nó nhận dạng cái tập tin config.php cho nên nếu đổi rùi mới up và cài thì ko đc!
doviet
Đang tập cài phpBB
Đang tập cài phpBB
Bài viết: 13
Ngày tham gia: 13 Th.5 2008, 09:19
Giới tính: Nam
Liên hệ:

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi doviet » 18 Th.6 2008, 23:54

doviet đã viết:Anh nedka cho em hỏi! Ở trên anh có kể đến trường hợp hacker dùng include("config.php") rồi đọc $dbhost, $dbname, $dbuser và $dbpasswd, thế nghĩa là gã đó có thể viết lệnh PHP thoải mái trên host, tức là có thể dùng fopen() hay file() hay bất cứ cái gì tương tự để đọc thẳng nội dung files rồi. Thế thì trường hợp này đâu thể bảo vệ được, dù là đổi tên file config.php hay ném nó vào thư mục khác?

Thấy có bác ninhanh ở đây, bác trả lời giúp em cái, đồng chí nedka đâu rồi ý?
Hình ảnh
Trả lời

Đang trực tuyến

Đang xem chuyên mục: 0 thành viên và 1 khách