Thông tin: Đây chỉ là nơi lưu dữ liệu cũ. Thao thác đăng nhập đã bị khóa. Vui lòng truy cập trang mới tại địa chỉ https://vinabb.vn/.

Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Nơi bạn có thể gửi các yêu cầu trợ giúp khi sử dụng phpBB.

Điều hành viên: Support Team

Nội quy chuyên mục
1. Tìm kiếm trước khi đặt câu hỏi để tránh trùng lặp.
2. Mỗi chủ đề chỉ gửi một câu hỏi, bạn được phép tạo nhiều chủ đề nếu có nhiều câu hỏi.
3. Tên chủ đề vui lòng ghi rõ ràng, không chung chung hay “cầu cứu” ai đó.
4. Không đặt câu hỏi trong chủ đề của người khác nếu không cùng vấn đề.
5. Các câu hỏi trong chuyên mục này chỉ dành cho các chức năng sẵn có của bản phpBB gốc. Chuyển trang nếu bạn bạn hỏi về MOD hay giao diện.
6. Bật chế độ DEBUG (mở config.php và xóa dấu // trước 2 dòng cuối) khi gửi câu hỏi liên quan đến lỗi SQL.
Hình đại diện
[V]inh[T]ien
Trùm phpBB tại Việt Nam
Trùm phpBB tại Việt Nam
Bài viết: 510
Ngày tham gia: 07 Th.2 2008, 23:08
Giới tính: Nam
Tên thật: [V]inh[T]ien
Nơi ở: Cantho
Liên hệ:

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi [V]inh[T]ien » 19 Th.6 2008, 10:51

một khi biết được tên tập tin config.php của bạn và vị trí của nó, kẻ tấn công bạn vẫn có thể sử dụng lệnh include() từ một nơi nào khác, "include" tập tin config.php trên máy chủ bạn rồi xuất ra các biến: $dbhost, $dbname, $dbuser và $dbpasswd trong tập tin kết quả của chúng.
Xem kỹ nhé bạn, có nói rõ nếu bít đc tên tập tin và vị trí của config.php thì việc hack sẽ dễ dàng, kòn ko thì sao nó bít thằng config (đã đổi tên) là gì mà nó include ? :)
doviet
Đang tập cài phpBB
Đang tập cài phpBB
Bài viết: 13
Ngày tham gia: 13 Th.5 2008, 09:19
Giới tính: Nam
Liên hệ:

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi doviet » 24 Th.6 2008, 22:56

[V]inh[T]ien đã viết:một khi biết được tên tập tin config.php của bạn và vị trí của nó, kẻ tấn công bạn vẫn có thể sử dụng lệnh include() từ một nơi nào khác, "include" tập tin config.php trên máy chủ bạn rồi xuất ra các biến: $dbhost, $dbname, $dbuser và $dbpasswd trong tập tin kết quả của chúng.
Xem kỹ nhé bạn, có nói rõ nếu bít đc tên tập tin và vị trí của config.php thì việc hack sẽ dễ dàng, kòn ko thì sao nó bít thằng config (đã đổi tên) là gì mà nó include ? :)

Hoan nghênh bác [V]inh[T]ien vì đã trả lời.
Nhưng mà bác đọc lại câu em hỏi nedka nhé:
Ở trên anh có kể đến trường hợp hacker dùng include("config.php") rồi đọc $dbhost, $dbname, $dbuser và $dbpasswd, thế nghĩa là gã đó có thể viết lệnh PHP thoải mái trên host, tức là có thể dùng fopen() hay file() hay bất cứ cái gì tương tự để đọc thẳng nội dung files rồi. Thế thì trường hợp này đâu thể bảo vệ được, dù là đổi tên file config.php hay ném nó vào thư mục khác?

Nếu em có khả năng dùng lệnh include() trên server (nghĩa là em có thể gọi hàm gì khác cũng được), thì cho bác đổi tên config.php thành cái gì gì .php em cũng tìm ra hết. Bác hiểu chửa?
Hình ảnh
kasperskyvietnam
Lao vào phpBB như con thiêu thân
Lao vào phpBB như con thiêu thân
Bài viết: 96
Ngày tham gia: 18 Th.7 2008, 20:44
Giới tính: Nam
Tên thật: Nguyen

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi kasperskyvietnam » 29 Th.7 2008, 13:47

Xin góp ý là với các bạn nào dùng server linux thì hãy sửa trong file .htaccess nữa nhé
tìm

Mã: Chọn hết

<Files "config.php">

và sửa lại thành tên mới của bạn.

Mà sao từ khi mình đổi tên file config.php này lại thì khi vào ACP ko thể vô Tổng quát - Cấu hình hệ thống - Thiết lập hệ thống được nữa nhỉ? Các tính năng khác vẫn bình thường, có ai bị giống mình vụ này ko?
Hình đại diện
hentaiw
Một trái tim hết lòng vì phpBB
Một trái tim hết lòng vì phpBB
Bài viết: 197
Ngày tham gia: 20 Th.6 2008, 09:01
Giới tính: Nam
Tên thật: ai bik

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi hentaiw » 29 Th.7 2008, 16:27

Ngán ngẩm lắm,khổi đổi O:-) (CHMOD 664 chưa đủ anh ned)?
Hỗ trợ trực tuyến (Chuyên về vi tính,vấn đề khác cũng giải quyết được)
[b]death_scythe_blackrose

Hình ảnh[/b]
Hình đại diện
dalton
Không thể sống thiếu phpBB
Không thể sống thiếu phpBB
Bài viết: 313
Ngày tham gia: 25 Th.5 2008, 10:46
Giới tính: Nam
Tên thật: Kẻ Lang Thang
Nơi ở: Hàn Quốc
Liên hệ:

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi dalton » 29 Th.7 2008, 22:06

Hai là, bình thường một kẻ cố truy cập trực tiếp tập tin config.php của bạn sẽ cho ra một trang trắng trên trình duyệt. Nhưng nếu giả sử trình biên dịch PHP trên máy chủ của bạn gặp sự cố (hoặc khi nâng cấp server, dịch vụ hosting thường tắt hết các trình biên dịch PHP), các tập tin PHP không còn được biên dịch để trả kết quả về trình duyệt người xem nữa, nó sẽ xuất ra "hết thảy những gì mình có" lên trình duyệt. Khi đó kẻ truy cập đó có thể xem tất tần tật tập tin config.php của bạn bằng trình duyệt.


Cho mình hỏi nếu trong trường hợp này file common.php cũng nằm chung thư mục với file config.php của mình vậy nếu "hắn" biết mình đổi tên thì "hắn" dùng trình duỵet mở file common.php ra thì cũng biết mình đổi tên config.php thành tên gì rồi truy ra mấy hồi đâu. Nguy hiểm quá làm sao đây ~x(
tungtrai
Đang tập cài phpBB
Đang tập cài phpBB
Bài viết: 12
Ngày tham gia: 30 Th.6 2008, 20:12
Giới tính: Nam
Tên thật: Nam

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi tungtrai » 29 Th.7 2008, 22:22

Nói tóm lại, tớ đã đổi theo hướng dẫn nhưng cũng nghi ngờ rằng biện pháp này chẳng giải quyết được gì, nếu kỳ công và triệt để nhất là đổi tên tất cả các file, mà như này có lẽ phải mất 1 tháng!
File config.php là tên thường dùng, theo mình hiểu thì với các mã nguồn đóng (Không mở, code được mã hoá) ta không biết được tên của các file khác, chỉ có thể đoán nó có file config, mà file này lại quan trọng, vì thế cần đổi! Với phpbb3, tên các file khác như nào, ai cũng biết thì việc chỉ đổi tên file config có lẽ chỉ làm hacker mất công thêm chút thôi chứ chẳng tăng tính bảo mật lên được bao nhiêu! Không biết tớ hiểu thế có đúng không nhỉ? :))
kasperskyvietnam
Lao vào phpBB như con thiêu thân
Lao vào phpBB như con thiêu thân
Bài viết: 96
Ngày tham gia: 18 Th.7 2008, 20:44
Giới tính: Nam
Tên thật: Nguyen

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi kasperskyvietnam » 29 Th.7 2008, 22:35

Hic, còn vụ ko thể ko vào phần "Thiết lập hệ thống" từ Admin Control Panel của mình thì sao nhỉ, có ai biết cách khắc phục ko, giúp với. Tình trạng tương tự cũng xảy ra khi vào "Thiết lập hệ thống" từ bảng điều khiển của ng dùng. Trình duyệt bị rớt và xuất hiện 1 trang trắng, potay rùi, hic
tungtrai
Đang tập cài phpBB
Đang tập cài phpBB
Bài viết: 12
Ngày tham gia: 30 Th.6 2008, 20:12
Giới tính: Nam
Tên thật: Nam

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi tungtrai » 30 Th.7 2008, 02:52

Chỗ vào ra trang trắng đó bạn xem lại xem bạn chọn thư viện cơ sở dữ liêuj là gì, MySQL hai MySQLi, (Bạn vào cpannel của host, mở file config.php ra là nhìn thấy) nếu dùng MySQLi thì một số host việt hiện nay hỗ trợ không đầy đủ đâu nên nó bị như vậy! Các khắc phục dễ nhất là gọi điện co bọn cung cấp host, bảo nó sao thế kỷ 21 sắp hết rồi mà còn không hỗ trợ MySQLi đầy đủ thê? :)) Bọn nó chỉnh host tí là xong! Còn không thì cài lại diễn đàn!
Nguyên nhân thứ 2 có thể là thiếu 1 file nào đó tong bộ file ngôn ngữ (Thấy nhiều người nói thế, bắt chước, không biết có đúng không?)
kasperskyvietnam
Lao vào phpBB như con thiêu thân
Lao vào phpBB như con thiêu thân
Bài viết: 96
Ngày tham gia: 18 Th.7 2008, 20:44
Giới tính: Nam
Tên thật: Nguyen

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi kasperskyvietnam » 30 Th.7 2008, 14:58

tungtrai đã viết:Chỗ vào ra trang trắng đó bạn xem lại xem bạn chọn thư viện cơ sở dữ liêuj là gì, MySQL hai MySQLi, (Bạn vào cpannel của host, mở file config.php ra là nhìn thấy) nếu dùng MySQLi thì một số host việt hiện nay hỗ trợ không đầy đủ đâu nên nó bị như vậy! Các khắc phục dễ nhất là gọi điện co bọn cung cấp host, bảo nó sao thế kỷ 21 sắp hết rồi mà còn không hỗ trợ MySQLi đầy đủ thê? :)) Bọn nó chỉnh host tí là xong! Còn không thì cài lại diễn đàn!
Nguyên nhân thứ 2 có thể là thiếu 1 file nào đó tong bộ file ngôn ngữ (Thấy nhiều người nói thế, bắt chước, không biết có đúng không?)

Hiện nó đang là "mysql" bạn ạ, nếu sửa lại thành "mysqli" thì toàn bộ forum đều ra trang trắng luôn. Có lẽ ko phải do lỗi này, vậy chắc là thiếu file lang nào đó thì phải? Để mình xem lại, chứ mà cài lại forum thì mệt lắm.
kasperskyvietnam
Lao vào phpBB như con thiêu thân
Lao vào phpBB như con thiêu thân
Bài viết: 96
Ngày tham gia: 18 Th.7 2008, 20:44
Giới tính: Nam
Tên thật: Nguyen

Re: Vì lý do BẢO MẬT, hãy đổi tên tập tin config.php của bạn!!!

Bài viết bởi kasperskyvietnam » 30 Th.7 2008, 15:52

Hoan hô, sau 1 hồi lục lọi mình đã sửa được rồi ^^
Trả lời

Đang trực tuyến

Đang xem chuyên mục: 0 thành viên và 1 khách