ওয়েব সাইট সিকিউরিটি পর্ব ৩: htaccess ব্যবহার করে সাইটকে হ্যাকারদের এর হাত থেকে রক্ষা করুন ।

গত পর্বে আমরা দেখিয়েছি htaccess দিয়ে কিভাবে  Admin Authentication Bypass বাগস্ প্রটেক্ট করা যাবে তা । আজকে আমরা httaccess এর আরো কিছু ব্যবহার দেখবো যা  আপনাদের ওয়েবসাইটকে হ্যাকারদের হাত থেকে বাঁচাতে সাহায্য করবে ।


ডিরেক্টরী/ফেল্ডার ব্রাউজিং বন্ধ করা


কোনো সাইটে  index.htm, index.html , index.php ইত্যাদি ফাইল না থাকলে সেগুলোতে পিসির  ফোল্ডারের মত করে  ব্রাউজিং করা যায় । যেমন এই লিংক টা দেখুন । সার্ভার এর ঐ ফোল্ডার সহ এর সকল সাব ফোল্ডারই দেখা যাচ্ছে । এভাবে  ডিরেক্টরী/ফেল্ডার ব্রাউজিং বন্ধ করা না থাকলে সেন্সিটিভ তথ্য ফাঁস হবার একটা সম্ভাবনা থাকে ।


এটা বন্ধ করতে নিচের কোডটি ব্যবহার করুন ।

    # stop directory browsing

    Options All -Indexes



সেনসিটিভ ফাইল ব্রাউজ করা বন্ধ করুন


 ধরুন সার্ভারে file.txt নামে একটা গুরুত্বপূর্ন ফাইল আছে, আপনি চান না এই ফাইল টা অন্যকেউ দেখতে পাক । সে ক্ষেত্রে নিচের কোড ব্যবহার করে এটা খুব সহজেই করতে পারবেন :

    <files file.txt>
    order allow,deny
    deny from all
    </files>

 আবার আপনি যদি চান ফাইলটা শুধু একটি নির্দিষ্ট আইপি থেকেই দেখা যাবে এমনটা করতে সে ক্ষেত্রে

    <files file.txt>
    order allow,deny
    allow from 0.0.0.0 ( এখানে 0.0.0.0 এর বদলে আইপি দিবেন)
    deny from all
    </files>





সেনসিটিভ ডিরেক্টরি ব্রাউজ করা বন্ধ করুন

আপনি চাইলে পুরো ডিরেক্টরিকেও এভাবে ব্লক/আনব্লক করতে পারেন । যেমন: আমি চাই আমার সাইটের এডমিন
প্যানেল শুধুমাত্র একটি নির্দিষ্ট আইপি থেকেই প্রবেশ করা যাবে সেক্ষেত্র ঐ ডিরেক্টরি তে htaccess ফাইল বানিয়ে নিচের কোডটি দিলেই হবে কাজ করবে ।

order allow,deny
deny from all
allow from xxx.xxx.xxx.xxx

xxx.xxx.xxx.xxx এর জায়গায় আপনার নির্দিষ্ট আই্পি হবে ।


htaccess ফাইলকে নিরাপদ রাখুন:

  নিচের কোডটি htaccess ফাইলকে নিরাপদ রাখবে ।

প্রতিটা htaccess ফাইলে নিচের কোড টি দিবেন 

<Files .htaccess>
order allow,deny
deny from all
</Files>


সাইটের ফাইল আপলোড ফোল্ডার সহ অন্য সেন্সিটিভ ডিরেক্টরি তে PHP ফাইল সহ অন্য এক্সটেনশনের ফাইল রান করা বন্ধ করুন : 


নিচের কোডটি শুধুমাত্র jpg|jpeg|jpe|gif|png|tif|tiff এক্সটেনশনের ফাইল দেখতে দিবে 

সুতরাং কেউ ঐ ফেল্ডারে html কিনবা php ফাইল আপলোড করলেও তা রান হবে না ।


# secure uploads directory
<Files ~ ".*\..*">
    Order Allow,Deny
    Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|tif|tiff)$">
    Order Deny,Allow
    Allow from all
</FilesMatch>


অনেক হ্যাকার রা php.jpg php.gif এক্সটেনশনে শেল আপলোড করে এটা বন্ধ করতে

 


# Block double extensions from being uploaded or accessed, including htshells
<FilesMatch ".*\.([^.]+)\.([^.]+)$">
Order Deny,Allow
Deny from all
</FilesMatch>

হ্যাকারদের ব্যবহূত শেলকে ব্লক করে দিন নিচের কোড দিয়ে


# Block shell uploaders, htshells, and other baddies
RewriteCond %{REQUEST_URI} ((php|my|bypass)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99|c100|r57|webadmin.*|phpget.*|phpwriter.*|fileditor.*|locus7.*|storm7.*)\.(p?s?x?htm?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml) [NC,OR]
RewriteCond %{REQUEST_URI} (\.exe|\.php\?act=|\.tar|_vti|afilter=|algeria\.php|chbd|chmod|cmd|command|db_query|download_file|echo|edit_file|eval|evil_root|exploit|find_text|fopen|fsbuff|fwrite|friends_links\.|ftp|gofile|grab|grep|htshell|\ -dump|logname|lynx|mail_file|md5|mkdir|mkfile|mkmode|MSOffice|muieblackcat|mysql|owssvr\.dll|passthru|popen|proc_open|processes|pwd|rmdir|root|safe0ver|search_text|selfremove|setup\.php|shell|ShellAdresi\.TXT|spicon|sql|ssh|system|telnet|trojan|typo3|uname|unzip|w00tw00t|whoami|xampp) [NC,OR]
RewriteCond %{QUERY_STRING} (\.exe|\.tar|act=|afilter=|alter|benchmark|chbd|chmod|cmd|command|cast|char|concat|convert|create|db_query|declare|delete|download_file|drop|edit_file|encode|environ|eval|exec|exploit|find_text|fsbuff|ftp|friends_links\.|globals|gofile|grab|insert|localhost|logname|loopback|mail_file|md5|meta|mkdir|mkfile|mkmode|mosconfig|muieblackcat|mysql|order|passthru|popen|proc_open|processes|pwd|request|rmdir|root|scanner|script|search_text|select|selfremove|set|shell|sql|sp_executesql|spicon|ssh|system|telnet|trojan|truncate|uname|union|unzip|whoami) [NC]
RewriteRule .* - [F]



আজ এই পর্যন্তই আগামী পর্বে htaccess এর আরো কিছু ব্যবহার সম্পর্কে দিবো । যেগুলো আপনার সাইটকে সিকিউর করতে সাহায্য করবে ।
Share on Google Plus

About Anonymous

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.
    Blogger Comment
    Facebook Comment

0 comments:

Post a Comment