SpareNet Servers Advertising & Link Exchange

اطلاعیه

بستن
هیچ اطلاعیه ای هنوز ایجاد نشده است .

How to protect admin folder with .htaccess

بستن
X
بستن
 
  • صفحه از 1
  • فیلتر
  • زمان
  • نمایش
پاک کردن همه
نوشته‌های جدید
قبلی template بعدی
  • #1

    How to protect admin folder with .htaccess

    سلام به عزیزان ایران هک ، امیدوارم حالتون خوب باشه ، مراقب این ویروس سازمان یافته باشین و از خودتون و خانواده هاتون بشدت محافظت کنید .

    متاسفانه بنده هم مبتلا شدم و دوران سختی رو سپری کردم ، از جوشانده آویشن و ضد عفونی موادی که از بیرون خریداری میکنید قافل نشوید . چین با ساخت این ویروس و به قول خودشون نشت اون از آزمایشگاهشون بستر نابودی خودشو فراهم کرد ما خیلی از عزیزانمون رو از دست دادیم و به امید روزی که اتحاد همه کشور ها رو علیه چین ببینیم . نوادگان مغول و چنگیز باری دیگه نشون دادن که خونخوار و جاه طلب هستند اما به قیمت خون بی گناهان ....

    خوب بگذریم

    در این مبحث به بررسی سطح امنیتی فولدر های مدیریت نرم افزاری های تحت وب و یا فولدر هایی که دارای اهمیت بالا میباشند میپردازیم نفوذگر در زمانی که به یک نرم افزار تحت وب حمله میکند و به یوزر و پسورد مدیر دسترسی پیدا میکند برای انجام آپلود شل باید وارد محیط کنترل پنل شود ، بیشتر نرم افزارهای تحت وب در محیط پنل مدیریتی خود قسمت هایی برای آپلود فایل ، عکس ، صفحه ، فیلم ، مقاله دارند و این یک گزینه مناسب برای شل گرفتن از تارگت هست اگر ما محدودیتی در صفحه لاگین داشته باشیم هکر حتی با وجود داشتن یوزر و پسورد قادر به ورود به صفحه مدیریتی نیست و در نهایت نفوذ کامل انجام نمیشود و کمترین آسیب به سایت وارد میشود .

    ضمنا برخی فولدر های آپلود فایل که مسیر نهایی ریختن فایل آپلود شده است بهتر است مورد امنیت قرار بگیرید به این دلیل که هکر در برخی واقع آپلودر هایی سایر قسمت های سایت بجز کنترل پنل مدیریتی را بای پس میکند و اگر نتواند فایل خود را بطور مستقیم پیدا کند این مرحله از نفوذ هکر هم ناکام میماند .

    .htaccess می تواند برای محافظت از پوشه های موجود در حساب شما با رمزگذاری رمز عبور و یا محدودیت نمایش برای سایرین استفاده شود. همه فایل ها و زیر پوشه های موجود در پوشه ای که توسط .htaccess محافظت می شوند نیز محافظت می شوند. بنابراین اگر می خواهید از کل وب سایت محافظت کنید ، باید .htaccess را در پوشه public_html یا httpdocs قرار دهید که پوشه عمومی محل نگهداری فایل ها و پوشه های وب سایت شما است. اما ، اگر می خواهید فقط از پوشه های خاص محافظت کنید (همانند صفحات مدیریتی admin / adminbistrator / admincp) ، باید این کار را به طور جداگانه برای هر یک از پوشه ها انجام دهید. توجه: اگر برنامه میزبانی مبتنی بر ویندوز دارید ، نمی توانید از فایل های .htaccess استفاده کنید. فقط می توانید از حفاظت .htaccess در سرور Unix/Linux مبتنی بر Apache استفاده کنید. در آینده به سرور های ویندوزی نیز خواهیم پرداخت .


    1. به پوشه ای بروید که می خواهید از آن محافظت کنید
    در مثال زیر ما می خواهیم از پوشه مدیر گالری Dynamic Flash در پوشه public_html محافظت کنیم. /users/user1/public_html/admin توجه: باید مسیر کامل پوشه ای را که می خواهید از آن محافظت کنید ، حفظ کنید. در مورد ما ، مسیر کامل/users/iranhack/public_html/ محافظت شده است.



    2. فایلی با نام .htaccess ایجاد کنید
    برای ایجاد فایلی به نام .htaccess از هر ویرایشگر متنی تا دلخواه خود استفاده کنید (توجه: مطمئن شوید که ویرایشگر متن شما یک پسوند .txt به نام فایل اضافه نکرده باشد. ((در Windows ، می توانید این کار را با کلیک راست روی نماد فایل متنی و انتخاب "Properties" انجام دهید.) اگر نام فایل دارای پسوند .txt (یعنی ".htpasswd.txt") است ، پسوند را با تغییر نام فایل حذف کنید.

    3. خطوط مناسب را به فایل .htaccess اضافه کنید.
    با استفاده از همان ویرایشگر متن (که در مرحله 2 انتخاب کرده اید) ، موارد زیر را وارد کنید.

    کد:
    AuthUserFile /users/iranhack/public_html/admin/.htpasswd AuthName “Title for Protected Site” AuthType Basic Require valid-user
    توجه داشته باشید:
    در کنار AuthUserFile ، باید مسیر کامل را قرار دهید ، با /.htpasswd بلافاصله آن را دنبال کنید. مثال بالا نشان می دهد /users/iranhack/public_html/admin/.htpasswd
    در کنار AuthName ، کلمات یا عبارتی را که می خواهید به عنوان "عنوان" برای کادر ورودی نام کاربری/رمز عبور ظاهر شود وارد کنید.

    توجه : در سایتهایی که کنترل پنل Cpanel یا DirectAdmin و ... موجود میباشد این پروسه بطور اتوماتیک تنها با چند کلیک انجام میپذیرد ما در این آموزش فرض را بر این گذاشته ایم که پنل مدیریت سرور این قابلیت را ندارد . در پایان این تاپیک آموزش استفاده از Folder Protect در سی پنل و سایر پنل ها به شما آموزش داده میشود .

    4- فایل .htpasswd را با افزودن کاربران ایجاد کنید
    ویرایشگر متن را در رایانه خود باز کنید. توصیه می کنیم از Notepad (Windows) ، SimpleText (Macintosh) یا notepad ++ استفاده کنید.
    فایل (در مکانی که به راحتی پیدا می شود) را به صورت .htpasswd (از جمله نقطه اولیه) ذخیره کنید.
    اکنون ، مطمئن شوید که ویرایشگر متن شما یک پسوند .txt به نام فایل اضافه نکرده است. (در Windows ، می توانید این کار را با کلیک راست روی نماد فایل متنی و انتخاب "Properties" انجام دهید.) اگر نام فایل دارای پسوند .txt (یعنی ".htpasswd.txt") است ، پسوند را با تغییر نام حذف کنید. پرونده.
    قبل از وارد کردن کد در فایل جدید خود ، مطمئن شوید که "Word Wrap" خاموش است. (در دفترچه یادداشت ، "قالب ..." را از نوار ناوبری بالا انتخاب کنید و مطمئن شوید که "Word Wrap" علامت زده نشده باشد.
    با انتخاب نام کاربری که برای ورود به دایرکتوری محافظت شده استفاده می کنید ، شروع کنید. (نام کاربری می تواند بین 2 تا 16 نویسه باشد و فقط شامل حروف کوچک و اعداد باشد.)
    نام کاربری را در فایل .htpasswd و سپس کولون وارد کنید. فایل شما باید به این شکل باشد: username:
    اکنون باید رمز ورود خود را برای ورود به دایرکتوری رمزگذاری کنید. توجه: رمز عبور رمزگذاری شده همیشه بدون در نظر گرفتن طول واقعی 13 کاراکتر خواهد بود. و رمز عبور نیاز به رمز نگاری دارد (همانند هش پسورد)
    به تصویر زیر در یک سایت آنلاین دقت نمائید :

    Create password credentials for htaccess and htpasswd files - HTPasswd Generator | Web 2.0 Generators
    https://www.web2generators.com/apache-tools/htpasswd-generator
    Create password credentials for htaccess and htpasswd files

    برای دیدن سایز بزرگ روی عکس کلیک کنید نام: htpasswd.png مشاهده: 280 حجم: 53.9 کیلو بایت


    همانطور که مشاهده میکنید پسورد ورودی ما password بود و پسوردی که در output مشاهده میکنیم هش شد است .

    رمز عبور را در فایل .htpasswd خود قرار دهید. اطمینان حاصل کنید که هر فضایی را که ممکن است قبل یا بعد از رمز عبور باشد حذف کنید. فایل شما باید به این شکل باشد:

    کد:
    username:$apr1$vftz42l9$3rdUQ9H8XDockgAxgtpgS.


    برای افزودن کاربران بیشتر ، خط فعلی را با چندین یوزر و مراحل (5) تا (8) بالا را در خط بعدی تکرار کنید.
    پس از اتمام افزودن کاربران ، فایل را ذخیره کنید.

    5. مجوزهای مربوط به فایل .htaccess و .htpasswd خود را تنظیم کنید
    FTP خود را باز کرده و به فهرست اصلی وب سایت خود بروید. این مهم است: بارگذاری فایل .htpasswd خود در یک دایرکتوری دیگر ممکن است عواقب غیر منتظره ای ایجاد کند. حالا تنظیمات بارگذاری خود را روی ASCII قرار دهید (بارگذاری فایل های .htpasswd در قالب «باینری» ممکن است عواقب غیر منتظره ای داشته باشد) و فایل .htaccess .htpasswd خود را از رایانه محلی خود بارگذاری کنید. مطمئن شوید که فایل .htpasswd موجود را بازنویسی نکنید - ممکن است اطلاعات ورود به سیستم را در آن فایل ذخیره کنید. توجه: اگر فایل .htpasswd موجود در فهرست اصلی خود دارید ، پیشنهاد می کنیم نام کاربری و گذرواژه های موجود در آن فایل را قبل از بارگذاری در وب به فایل .htpasswd جدید خود اضافه کنید. می توانید این کار را ابتدا با بارگیری فایل .htpasswd قدیمی و کپی و چسباندن محتوای آن در فایل جدید خود انجام دهید. پس از اتمام بارگذاری ، ممکن است مجوزهای فایل را برای فایل .htaccess و .htpasswd تغییر دهید. آنها باید روی 644 (با استفاده از chmod) یا RW-R – R– تنظیم شوند.

    چگونه می توانم محافظت از htaccess را حذف کنم؟
    برای حذف حفاظت از htaccess ، کافی است فایل .htaccess را در پوشه admin حذف یا نامگذاری کنید.

    ​​​​​​​ادامه دارد ...
    -----------------------------SAFE MASTER---------------------------
    تاپیک هکر های تازه وارد
    برچسب ها: هیچ یک
  • #2
    بسیار خوب مراحل بالا بدون استفاده از سی پنل و پنل های مدیریت سرور بود در اینجا ما همان مراحل را به اسطه سی پنل به شما آموزش میدهی که تنها چند کلیک بیشتر زمان نمیبرد :

    Password protect directory in cPanel

    وارد سی پنل شوید و از قسمت Files section گزینه Directory Privacy menu را انتخاب کنید :
    برای دیدن سایز بزرگ روی عکس کلیک کنید نام: pl_pass_protect_1.png مشاهده: 270 حجم: 29.8 کیلو بایت


    گزینه Document Root for option و نام دامنه مورد نظر را از منوی کشویی انتخاب کرده و Go را بزنید

    برای دیدن سایز بزرگ روی عکس کلیک کنید نام: pl_pass_protect_2.png مشاهده: 260 حجم: 27.0 کیلو بایت
    حالا ، می توانید دایرکتوری ای را که می خواهید محافظت کنید انتخاب کنید:

    برای دیدن سایز بزرگ روی عکس کلیک کنید نام: pl_pass_protect_3.png مشاهده: 260 حجم: 37.8 کیلو بایت
    در بخش Security Setting نامی را برای دایرکتوری محافظت شده انتخاب کنید و علامت تیک گزینه Password protection this directory را بزنید:

    برای دیدن سایز بزرگ روی عکس کلیک کنید نام: pl_pass_protect_4.png مشاهده: 261 حجم: 45.5 کیلو بایت

    در بخش ایجاد کاربر نام کاربری و رمز عبوری را که باید برای دسترسی به این فهرست استفاده شود ، مشخص کنید

    برای دیدن سایز بزرگ روی عکس کلیک کنید نام: pl_pass_protect_6.png مشاهده: 261 حجم: 24.8 کیلو بایت

    در مثال ما ، ما حفاظتی را برای فولدر ادمین wp-admin تنظیم کرده ایم ، به طوری که هنگام پیوند http://nctest.info/wp-admin ، پنجره بازشونده احراز هویت می شود:


    تبریک میگم موفق شدید ، در ادامه با نحوه محدودیت های امنیتی دیگر در htaccess آشنا میشوید .

    -----------------------------SAFE MASTER---------------------------
    تاپیک هکر های تازه وارد

    نظر

    • #3
      Using .htaccess to restrict access to Files and Directories | استفاده از htaccess برای محدود سازی دسترسی به فایل ها و و فولدر ها
      Apache به طور پیش فرض اجازه دسترسی به همه چیز داخل پوشه Document Root را می دهد. این بدان معناست که تمام فهرستهای فرعی و محتویات آنها قابل فهرست بندی و دسترسی هستند. اما می توانید از .htaccess برای تقویت امنیت سرور Apache خود استفاده کنید. .htaccess یک فایل پیکربندی است که در صورت تشخیص توسط Apache اجرا می شود.

      اگر قبلاً یک فایل .htaccess در پوشه ریشه سند خود دارید ، قبل از ایجاد هرگونه تغییری از آن پشتیبان بگیرید. ویرایش یا ایجاد یک فایل .htaccess جدید.

      سه تنظیم امنیتی مهم که باید به فایل .htaccess خود اضافه کنید عبارتند از:

      محدودیت دسترسی برای فایل

      خطوط زیر را در فایل .htaccess خود اضافه کنید تا از دسترسی خود فایل htaccess جلوگیری کنید. به جای <Files .htaccess> میتوانید فایل دلخواه خود را محدود کنید بطور مثال فایلهایی از قبیل config یا admin/index.php

      کد:
      # Deny access to .htaccess
<Files .htaccess>
Order allow,deny
Deny from all
</Files>
      نمایان سازی فهرست ها یا همان دایرکتوری ایندکسینگ را غیرفعال کنید خط زیر در .htaccess نمایه سازی فهرست ها را حذف کرده و سرور را با پیام ممنوعه 403 پاسخ می دهد. بدین صورت اگر فردی فولدری فاقد index را باز کند فایل های شما برای آن نمایش داده نمیشود .

      کد:
      # Disable directory browsing
Options -Indexes

      برای پنهان کردن تمام محتویات فهرست بدون پیام ممنوعه ، از دستور IndexIgnore استفاده کنید.

      کد:
      # Hide the contents of directories
IndexIgnore *
      برای پنهان کردن برخی از انواع فایلها استفاده کنید :

      کد:
      # Hide files of type .png, .zip, .jpg, .gif and .doc from listing
IndexIgnore *.png *.zip *.jpg *.gif *.doc

      جلوگیری از دسترسی به پرونده های خاص
      حتی اگر فهرستها و فایلها را از لیست حذف کنید ، اگر مسیر را تایپ کنید ، باز هم قابل دسترسی هستند.

      برای حذف دسترسی غیرمجاز به پسوندهای .ini, .psd, .log, .sh ، استفاده کنید

      کد:
      # Deny access to files with extensions .ini, .psd, .log, .sh
<FilesMatch "\.(ini|psd|log|sh)$">
Order allow,deny
Deny from all

</FilesMatch>
      برای جلوگیری از دسترسی به همه نامهای پرونده با نقطه (.) شروع می شود مانند .htaccess ، .htpasswd ، .env و.... از


      کد:
      # Deny access to filenames starting with dot(.)
<FilesMatch "^\.">
Order allow,deny
Deny from all
</FilesMatch>

      همچنین می توانید از فایل ها و دایرکتوری ها با رمز عبور محافظت کرده و گذرواژه ها را در یک فایل .htpasswd ذخیره کنید

      کد:
      # Password protect files
<FilesMatch "^(execute|index|myfile|anotherfile)*$">
AuthType Basic
AuthName "Mypassword"
AuthUserFile <Full Server Path to .htpasswd file>/.htpasswd
Require valid-user
</FilesMatch>
      <مسیر کامل سرور به فایل .htpasswd> را با مسیر واقعی خود جایگزین کنید.

      شما همچنین می توانید فایل .htaccess را در هر زیر دایرکتوری با بیش از حد سواری قرار دهید. قوانین دسترسی را می توان مستقیماً در داخل فایل پیکربندی اصلی Apache httpd.conf تعریف کرد. اما اگر به فایل پیکربندی اصلی دسترسی ندارید (که معمولاً در صورت استفاده از سرویس میزبانی مشترک) ، باید به قوانین دسترسی مبتنی بر .htaccess متوسل شوید.

      توجه: سوار شدن بیش از حد به تنظیمات httpd.conf با استفاده از .htaccess تنها در صورتی مجاز است که دستورالعمل AllowOverride در داخل httpd.conf تنظیم شده باشد که حالت پیش فرض است.

      چگونه از طریق .htaccess دسترسی به یک فایل واحد را محدود کنیم
      فرض کنید ، من می خواهم از دسترسی به یک فایل خاص جلوگیری کنم. بیایید نمونه ای از فایل پیکربندی را که دارای تمام پیکربندی سیستم است ، در نظر بگیرید. config.php یک مثال است ، می توانید هر فایل PHP را در آن قرار دهید. برای جلوگیری از دسترسی به مجرد ، باید نام فایل را در .htaccess ذکر کنید.

      دسترسی به فایل config.php از طریق htaccess را ممنوع کنید

      کد:
      <Files config.php>
order allow,deny
Deny from all
</Files>
      ادامه دارد ...
      -----------------------------SAFE MASTER---------------------------
      تاپیک هکر های تازه وارد

      نظر

      • #4
        چگونه می توان دسترسی دایرکتوری را با استفاده از آدرس IP با استفاده از htaccess محدود کرد؟

        یک راه بسیار موثر برای محافظت از پوشه های ادمین می باشد! فهرست مدیر هر دایرکتوری دیگری در public_html را می توان به همان روش محافظت کرد. این روش تنها در صورتی کار می کند که یک آدرس IP ثابت به شما اختصاص داده شده باشد. هرکسی که بخواهد با استفاده از آدرس IP متفاوت ، چنین فهرست هایی را مرور کند ، خطای 403 Forbidden دریافت می کند. شما میتوانید هر بار که خواستد وارد کنترل مدیریت خود شوید آدرس ip جدید خود را در htaccess به آن بدهید کمی اذیت میشوید ولی امنیت شما به شکل بالایی پیشرفت میکند ، همچنین اگر از یک رنج IP مشخص استفاده میکنید میتوانید رنج ip را به htaccess بدهید .

        کد:
        Order Deny,Allow
Deny from all
Allow from 100.100.100.100
        در پوشه ای که می خواهید از آن محافظت کنید ، فایلی را با نام .htaccess باز کنید (یا ایجاد کنید). (به نقطه در ابتدای نام فایل توجه کنید.)
        کد زیر را به این فایل اضافه کنید و 100.100.100.100 را در این مثال با آدرس IP ثابت که قصد دارید اجازه دهید به فولدر دسترسی داشته جایگزین کنید:
        (بجای 100.100.100.100 آدرس ای پی و یا رنج ای پی خود را وارد کنید اگر از ip استاتیک و valid استفاده کنید اینکار فقط یکبار انجام میشود چون ip شما ثابت است در غیر اینصورت هر بار برای دسترسی نیاز به تغییر فایل htaccess دارید .)
        -----------------------------SAFE MASTER---------------------------
        تاپیک هکر های تازه وارد

        نظر

        قبلی template بعدی
        صبر کنید ..
        X