Thai OpenCart ร้านค้าออนไลน์ ระบบ Opencart ภาษาไทย

OPENCART HOTLINE

บริการติดตั้ง ปรับแต่ง เขียนโมดูล UPGRADE Version

Facebook
LINE:elect.tu
MAIL:elect.tu@gmail.com
TEL:0890237235

แนวทางป้องกันเว็บไซต์ OpenCart โดนแฮก อย่างง่าย

0 Members and 1 Guest are viewing this topic.

มาแบบเร็วๆเลยครับหัวข้อนี้ พอดีมีเว็บลูกค้าหลายท่านมากโดนแฮก ส่วนใหญ่ที่เจอคือโดนฝังสคริปต์
โดยช่องโหว่ดังกล่าวเท่าที่ผมเจอคือ
1.user error เนื่องจากผู้ใช้หลายคน ตั้งชื่อผู้ใช้งานและรหัสผ่านที่ง่ายเอามากๆ ตัวอย่างเช่น admin/123456 (รู้หรือไม่ ชื่อผู้ใช้และรหัสผ่านหลังบ้านสามารถใช้อักษรภาษาไทยได้นะครับ)
2.Host มีระบบความปลอดภัยที่ไม่รัดกุม โดนส่วนใหญ่คือจะโดนแฮกผ่านทาง directory ที่ต้อง chmod777 เช่น
image/
download
system/cache
system/logs

ทางแก้คือ สร้าง .htaccess ใส่เอาไว้ในโฟลเดอร์ดังกล่าวเพื่อไม่ให้แฮกเกอร์รันไฟล์ php ได้ ตัวอย่างโค้ด
Code: [Select]
<FilesMatch "\.(php|php3?|phtml)$"> 
         Order Deny,Allow
         Deny from All
</FilesMatch>
3.ตั้งค่าระบบ log ไม่ให้เปลี่ยนชื่อไฟล์ที่หลังร้านได้(Systems>Settings>Server>Error file name) โดยการแก้ไขไฟล์ index.php และ admin/index.php โดยหาบรรทัดนี้
Code: [Select]
$log = new Log($config->get('config_error_filename'));
แก้เป็น
Code: [Select]
$log = new Log('error.log');
ผมขออธิบายแนวทางของแฮกเกอร์ว่าสามารถ hack ระบบ opencart ด้วยการ inject ค่าที่ทำให้ระบบ error โดยการแทรกโค้ด php ลงไปใน error message แต่แนวทางนี้ต้องผ่านการแฮกจากข้อ 1 เสียก่อน โดยการเข้าสู่ระบบแอดมินแล้วเปลี่ยนชื่อไฟล์ error.log เป็น error.php
จากนั้นก็ทำการ inject ทำให้เว็บเกิด error แล้วรันโค้ด error.php ได้อย่างง่ายดาย ซึ่งการที่เราตั้งค่า error.log ไม่ให้เปลี่ยนชื่อได้จะทำให้แฮกเกอร์รันไฟล์ดังกล่าวไม่ได้ครับ ถึงแม้เค้าจะแฮกเข้าหลังร้านเราได้ก็ตาม
4.แฮกผ่านระบบอัปโหลดไฟล์ของ v1.5 .x ซึ่งไม่มีการดักจับรายละเอียดในไฟล์ว่ามีโค้ดที่สามารถรันผ่านเว็บได้ ตัวอย่างง่ายๆเช่น เปลี่ยนชื่อไฟล์จาก .php เป็น .jpg ก็สามารถอัพขึ้นได้ แต่ช่องโหว่นี้ได้รับการแก้ไขแล้วใน v2

แนวทางการตรวจสอบว่าเว็บโดนแฮกหรือไม่ ง่ายๆคือ เข้าไปดูในพาทที่ผมว่าด้านบนว่ามีไฟลืแปลกพวก .php อยู่ในนั้นหรือไม่ ถ้ามีก็มั่นใจได้เลยว่าโดนแล้ว
อีกวิธีการคือ แฮกเกอร์ส่วนใหญ่เค้าไม่ทำอะไรระบบเราหรอก แต่เค้าจะเนียนใช้ระบบเราเป็น bot เช่นแอบใช้ระบบเมล์ของเราส่งเมล์หาเหยื่อ ใครที่ได้รับเมล์แจ้งจากโฮสต์ว่าโควต้าเมล์หมดบ่อยๆก็ให้คิดเลยว่าโดนแล้ว
ADVERTISEMENT
« Last Edit: September 27, 2016, 11:15:31 AM by pickawan »
ดาวน์โหลด Template OpenCart สวยๆ คลิกเลย >>http://goo.gl/QtHq4G