গত পর্বে আমরা দেখিয়েছি htaccess দিয়ে কিভাবে Admin Authentication Bypass বাগস্ প্রটেক্ট করা যাবে তা । আজকে আমরা httaccess এর আরো কিছু ব্যবহার দেখবো যা আপনাদের ওয়েবসাইটকে হ্যাকারদের হাত থেকে বাঁচাতে সাহায্য করবে ।
ডিরেক্টরী/ফেল্ডার ব্রাউজিং বন্ধ করা
কোনো সাইটে index.htm, index.html , index.php ইত্যাদি ফাইল না থাকলে সেগুলোতে পিসির ফোল্ডারের মত করে ব্রাউজিং করা যায় । যেমন এই লিংক টা দেখুন । সার্ভার এর ঐ ফোল্ডার সহ এর সকল সাব ফোল্ডারই দেখা যাচ্ছে । এভাবে ডিরেক্টরী/ফেল্ডার ব্রাউজিং বন্ধ করা না থাকলে সেন্সিটিভ তথ্য ফাঁস হবার একটা সম্ভাবনা থাকে ।
এটা বন্ধ করতে নিচের কোডটি ব্যবহার করুন ।
এটা বন্ধ করতে নিচের কোডটি ব্যবহার করুন ।
# stop directory browsing
Options All -Indexes
সেনসিটিভ ফাইল ব্রাউজ করা বন্ধ করুন
ধরুন সার্ভারে file.txt নামে একটা গুরুত্বপূর্ন ফাইল আছে, আপনি চান না এই ফাইল টা অন্যকেউ দেখতে পাক । সে ক্ষেত্রে নিচের কোড ব্যবহার করে এটা খুব সহজেই করতে পারবেন :
<files file.txt>
order allow,deny
deny from all
</files>
আবার আপনি যদি চান ফাইলটা শুধু একটি নির্দিষ্ট আইপি থেকেই দেখা যাবে এমনটা করতে সে ক্ষেত্রে
<files file.txt>
order allow,deny
allow from 0.0.0.0 ( এখানে 0.0.0.0 এর বদলে আইপি দিবেন)
deny from all
</files>
সেনসিটিভ ডিরেক্টরি ব্রাউজ করা বন্ধ করুন
আপনি চাইলে পুরো ডিরেক্টরিকেও এভাবে ব্লক/আনব্লক করতে পারেন । যেমন: আমি চাই আমার সাইটের এডমিনপ্যানেল শুধুমাত্র একটি নির্দিষ্ট আইপি থেকেই প্রবেশ করা যাবে সেক্ষেত্র ঐ ডিরেক্টরি তে htaccess ফাইল বানিয়ে নিচের কোডটি দিলেই হবে কাজ করবে ।
order allow,deny
deny from all
allow from xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx এর জায়গায় আপনার নির্দিষ্ট আই্পি হবে ।
htaccess ফাইলকে নিরাপদ রাখুন:
নিচের কোডটি htaccess ফাইলকে নিরাপদ রাখবে ।প্রতিটা htaccess ফাইলে নিচের কোড টি দিবেন
<Files .htaccess>
order allow,deny
deny from all
</Files>
সাইটের ফাইল আপলোড ফোল্ডার সহ অন্য সেন্সিটিভ ডিরেক্টরি তে PHP ফাইল সহ অন্য এক্সটেনশনের ফাইল রান করা বন্ধ করুন :
নিচের কোডটি শুধুমাত্র jpg|jpeg|jpe|gif|png|tif|tiff এক্সটেনশনের ফাইল দেখতে দিবে
সুতরাং কেউ ঐ ফেল্ডারে html কিনবা php ফাইল আপলোড করলেও তা রান হবে না ।
# secure uploads directory
<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|tif|tiff)$">
Order Deny,Allow
Allow from all
</FilesMatch>
অনেক হ্যাকার রা php.jpg php.gif এক্সটেনশনে শেল আপলোড করে এটা বন্ধ করতে
# Block double extensions from being uploaded or accessed, including htshells
<FilesMatch ".*\.([^.]+)\.([^.]+)$">
Order Deny,Allow
Deny from all
</FilesMatch>
হ্যাকারদের ব্যবহূত শেলকে ব্লক করে দিন নিচের কোড দিয়ে
# Block shell uploaders, htshells, and other baddies
RewriteCond %{REQUEST_URI} ((php|my|bypass)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99|c100|r57|webadmin.*|phpget.*|phpwriter.*|fileditor.*|locus7.*|storm7.*)\.(p?s?x?htm?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml) [NC,OR]
RewriteCond %{REQUEST_URI} (\.exe|\.php\?act=|\.tar|_vti|afilter=|algeria\.php|chbd|chmod|cmd|command|db_query|download_file|echo|edit_file|eval|evil_root|exploit|find_text|fopen|fsbuff|fwrite|friends_links\.|ftp|gofile|grab|grep|htshell|\ -dump|logname|lynx|mail_file|md5|mkdir|mkfile|mkmode|MSOffice|muieblackcat|mysql|owssvr\.dll|passthru|popen|proc_open|processes|pwd|rmdir|root|safe0ver|search_text|selfremove|setup\.php|shell|ShellAdresi\.TXT|spicon|sql|ssh|system|telnet|trojan|typo3|uname|unzip|w00tw00t|whoami|xampp) [NC,OR]
RewriteCond %{QUERY_STRING} (\.exe|\.tar|act=|afilter=|alter|benchmark|chbd|chmod|cmd|command|cast|char|concat|convert|create|db_query|declare|delete|download_file|drop|edit_file|encode|environ|eval|exec|exploit|find_text|fsbuff|ftp|friends_links\.|globals|gofile|grab|insert|localhost|logname|loopback|mail_file|md5|meta|mkdir|mkfile|mkmode|mosconfig|muieblackcat|mysql|order|passthru|popen|proc_open|processes|pwd|request|rmdir|root|scanner|script|search_text|select|selfremove|set|shell|sql|sp_executesql|spicon|ssh|system|telnet|trojan|truncate|uname|union|unzip|whoami) [NC]
RewriteRule .* - [F]
আজ এই পর্যন্তই আগামী পর্বে htaccess এর আরো কিছু ব্যবহার সম্পর্কে দিবো । যেগুলো আপনার সাইটকে সিকিউর করতে সাহায্য করবে ।
0 comments:
Post a Comment