Cách bảo vệ Admincp của diễn đàn Vbulletin​

Những việc mà các bạn cần tìm hiểu và làm đó là:
1. Đổi tên (rename) cho cái thư mục admincp gốc của nó thành 1 cái tên khác mà các bạn chắc chắn chỉ có các admin có thể biết. Nhưng không sửa lại path trong file /includes/config.php. Ai không biết rename thì pm sent user + pass vps hay host qua inbox ccb Drop dùm cho :))
vd: Aitimduocadmincpnaykhong

2. Đặt mật khẩu bảo vệ thư mục cho cái thư mục admincp fake (Aitimduocadmincpnaykhong) này, có nhiều cách như add code vào global.php, index.php, hay đơn giản là cứ .htaccess + .htpasswd mà táng. Mấy bài hướng dẫn dạng này nhiều vô số kể các bạn tìm rồi làm theo thôi.

3. Thực hiện 2 bước dưới đây để chống lại việc tìm ra path thật bằng những tính năng có sẵn của Vbulletin.
a. Phân quyền lại cho các nhóm từ Mod
-> Cao nhất không cho xem Location của thành viên khác khi dùng chức năng Who's online nhiều bản việt hóa nó dịch thành "phúc trình vãng lai" gì đó trên forum. Cách phân quyền như sau: Login vào admincp trước rồi vào
Admin CP -> Usergroups -> Usergroup Manager -> Edit Usergroup -> Who's Online Permissions -> Can View Detailed Location Info for Users -> No
Save lại và làm tương tự cho các nhóm (Group) còn lại thế là xong phần phân quyền tránh dòm ngó.

b. Giới hạn Current activity (hoạt động hiện tại) trên các tài khoản có quyền truy cập vào admincp fake đó. bằng cách sửa code trong tempate đang sài. để không cho hiển thị những thông tin có thể làm lộ location của admin khi đang hành sự trên diễn đàn. Login vào admincp rồi vào

Styles & Templates -> Search in Templates -> tìm với skin muốn sửa và tìm với từ khóa : current activity
-> ra cái kết quả màu mè MEMBERINFO -> click vào nó và tìm tiếp với từ current activity sẽ thấy đoạn code như sau:


PHP:
<!-- current activity -->
            
                <if 
condition="$prepared['lastactivitydate'] OR $prepared['action']">
                    <
div class="alt2 smallfont block_row" id="activity_info">
                        <if 
condition="$prepared['lastactivitydate']">
                            <
div id="last_online">
                                <
span class="shade">$vbphrase[last_activity]:</span$prepared[lastactivitydate]<if condition="!$show['detailedtime']"> <span class="time">$prepared[lastactivitytime]</span></if>
                            </
div>
                        </if>
                        <if 
condition="$prepared['action']">
                            <
span class="shade">$vbphrase[current_activity]:</span$prepared[action$prepared[where]
                        </if>
                    </
div>
                </if>
            
<!-- / 
current activity -->

Sửa bằng cách thêm vào dòng code này trong nó là xong:
Code:
<if condition="!in_array($prepared['userid'], array(1,2,3,4,5,6,7,8,9))">


Chú ý: cái đống array(1,2,3,4,5,6,7,8,9) 1,2,3,4,5,6,7,8,9 này là các ID của những User có quyền truy cập vào admincp mà các bạn muốn người khác không xem được cái thông tin trong profile hé.

nó sẽ thành như sau:

PHP:
<!-- current activity -->
                <if 
condition="!in_array($prepared['userid'], array(1,2,3,4,5,6,7,8,9))">
                <if 
condition="$prepared['lastactivitydate'] OR $prepared['action']">
                    <
div class="alt2 smallfont block_row" id="activity_info">
                        <if 
condition="$prepared['lastactivitydate']">
                            <
div id="last_online">
                                <
span class="shade">$vbphrase[last_activity]:</span$prepared[lastactivitydate]<if condition="!$show['detailedtime']"> <span class="time">$prepared[lastactivitytime]</span></if>
                            </
div>
                        </if>
                        <if 
condition="$prepared['action']">
                            <
span class="shade">$vbphrase[current_activity]:</span$prepared[action$prepared[where]
                        </if>
                    </
div>
                </if>
                </if>
<!-- / 
current activity -->

Save lại và làm tương tự cho các Skin khác nếu có sử dụng. Tóm lại với cách này thì nó sẽ hạn chế được gần như tối đa khả năng tìm kiếm link admincp thật của các bạn trong bước thu thập thông tin của hacker KHI TẤN CÔNG TRỰC TIẾP. Nếu forum các bạn bị dính các lỗi như SQLi và bị local attach thì ... BT

Tut cùi by Ccb - VHB

Chú Ý:

Coppy phải ghi rõ nguồn Dương-UG Blog's
 

2 nhận xét:

  1. ban oi co the add nick yahoo cua minh khong all4me4 minh muon hoi ban vai thu

    Trả lờiXóa
  2. Blog này nhìn phong cách quá!

    Bên mình là công ty chuyển nhà tại Bình dương

    Các bác có nhu cầu xin ủng hộ:

    dịch vụ chuyển nhà bình dương
    chuyển nhà văn phòng bình dương

    Trả lờiXóa

Copyright © Dương-UG Blog's - Nguyễn Bình Dương