হ্যাকার আমার wp-config.php দিয়ে কী করতে পারে p

11

আমি আমার ওয়ার্ডপ্রেস ব্লগটি সুরক্ষিত করার চেষ্টা করছি। আমি ওয়েবে কিছু পোস্ট পড়ি table_prefixযাতে আমার নিজের পরিবর্তন করা উচিত এবং আমার লুকানো উচিত wp-config.php। তবে, আমি তা পাই না? একজন আক্রমণকারী আমার সাথে কী করতে পারে wp-config.php?

আমি বোঝাতে চাই যে আমার ডিবি কনফিগারেশন রয়েছে, তবে আক্রমণকারীর আমার DB_HOSTউদাহরণস্বরূপ দরকার, যা আমার ডিবিতে সংযোগ স্থাপনের জন্য পাওয়া এত সহজ নয়? (আমার ক্ষেত্রে define('DB_HOST', 'localhost');এটি:, যা আক্রমণকারী আমার ডিবিতে সংযোগ করতে ব্যবহার করতে পারেনি) )

নাকি আমি অনুপস্থিত?

আমি আপনার উত্তর সত্যিই প্রশংসা!

plugins security wp-config

— কারে
সূত্র

আমার ধারণা, এসকিউএল ইনজেক্ট করা তার পক্ষে সহজ হবে। অভিনয় করেন। এটির জন্য বিশেষজ্ঞদের অপেক্ষায় রইল।

— রবার্ট হু

আপনি এটি প্রোগ্রামিং প্রহেলিকা এবং কোড গল্ফ বিটাতে পোস্ট করতে পারেন এবং লোকেরা কীভাবে আসে তা দেখতে পারেন। :)

— জোশুয়া টেলর

1

@ জোশুয়া টেলর সুস্পষ্ট নৈতিক সমস্যাগুলি বাদ দিয়ে, আমাদের সাইটটি তেমনটি নয়: আমরা কেবল এমন প্রশ্ন পছন্দ করি যেগুলি কোন সমাধানটি জিতবে তা ঠিক করার জন্য একটি উদ্দেশ্য বিজয়ী মানদণ্ড সক্ষম করতে সক্ষম, কেবল "আরে, আসুন আমরা সমস্ত কোড লিখি এবং মজা করি! ইয়াহা!"

— ডোরকনব

@ ডুরকনব ঠিক আছে, স্পষ্টতই এটি জনপ্রিয়তার প্রতিযোগিতা হয়ে উঠবে। তবে আন্তরিকভাবে, আমি আশা করি যে ":)" তা প্রকাশ করবে যে আমি গুরুতর নই। যদি কেউ ফলাফল হিসাবে তাদের wp-config ফাইলগুলি পোস্ট করার চেষ্টা করে থাকে তবে দয়া করে আমার ক্ষমা প্রার্থনা করুন ologies

— জোশুয়া টেলর

9

localhostএটি চলছে এমন মেশিনকে বোঝায়। উদাহরণস্বরূপ আমার নিজের সাইটে tomjn.com লোকালহোস্ট যেমন 127.0.0.1সর্বদা হয়। এর অর্থ এই নয় যে হ্যাকার কোথায় সংযুক্ত হবে তা জানে না, এর অর্থ হ্যাকার প্রতিস্থাপন localhostকরেছে tomjn.com।

অবশ্যই যদি আমার সামনে একটি প্রক্সি বসে থাকে তবে এটি কাজ করবে না, তবে মনে রাখবেন যে যদি আক্রমণকারীটির আমার wp-config.phpঅ্যাক্সেস থাকে তবে সেই একই অ্যাক্সেস তাদের সেই মেশিনে অন্যান্য জিনিস করতে দেয়।

সুতরাং এখন আক্রমণকারীর কাছে আপনার ডাটাবেসের বিশদ রয়েছে এবং তারা পড়তে পারে wp-config.php। তাদের এখন আপনার ডাটাবেসের সমস্ত কিছুতে অ্যাক্সেস রয়েছে এবং এটি আপনার ডাটাবেসের যে কোনও কিছু পরিবর্তন করতে পারে।

আপনার ইনস্টলটির সুরক্ষার উপর নির্ভর করে তারা নিজের জন্য একটি ব্যবহারকারী তৈরি করতে, লগ ইন করতে, পিএইচপি শেল স্ক্রিপ্টের সাহায্যে জিপের মাধ্যমে একটি প্লাগইন আপলোড করতে পারে এবং কমান্ড জারি করতে বা বট নেট হিসাবে অংশটি ব্যবহার করতে পারে।

তাদের কাছে আপনার লবণের এবং গোপন কীগুলি রয়েছে (যদি আপনার কাছে এর কোনওটিই না থাকে তবে খারাপ মন্দ), তাই আপনার ব্যবহারকারীদের পাসওয়ার্ড জোর করে নিষ্ঠুরতা উল্লেখযোগ্যভাবে সহজ হয়ে যায়। তাদের ইমেলগুলিতে অ্যাক্সেসও রয়েছে।

বলার অপেক্ষা রাখে wp-config.phpনা যে ঘটতে পারে এমন একটির মধ্যে সবচেয়ে খারাপ কাজ হচ্ছে। এটির সাথে আরও অনেকগুলি কাজ করা যেতে পারে তবে এর ফলে প্রতিটি সম্ভাব্য আক্রমণ টাইপ করতে কয়েক মাস সময় লাগবে।

আপনার wp-config.phpঅর্জিত ইভেন্টটি , সম্ভবত একটি স্বয়ংক্রিয় আক্রমণ স্ক্রিপ্ট এটি করেছে, প্রকৃত ব্যক্তি নয়। আপনার সমস্ত বিবরণ পরিবর্তন করুন, সমস্ত পাসওয়ার্ড পুনরায় সেট করুন, এবং গর্তটি বন্ধ করুন।

— টম জে নোয়েল
সূত্র

2

এর অর্থ এই নয় যে হ্যাকার কোথায় সংযুক্ত হবে তা জানে না, এর অর্থ হ্যাকার প্রতিস্থাপন localhostকরেছে tomjn.com। > এটি ধরে নিয়েছে যে আপনার কাছে বাইরের বিশ্বে অ্যাক্সেসযোগ্য ডাটাবেসের পোর্ট রয়েছে। আপনি কী নিরাপদে থাকতে পারবেন না যদি আপনি ফায়ারওয়াল নিয়মে পোর্টটি বন্ধ করে দেন, কেবলমাত্র স্থানীয় নেটওয়ার্কের কম্পিউটারগুলিতে (কম্পিউটার চালিত ওয়ার্ডপ্রেস সহ) ডাটাবেসের সাথে সংযোগ স্থাপনের অনুমতি দেয়?

— আইকিউ আন্দ্রেয়াস

1

এটি এখনও সঠিক অবস্থান হবে তবে হ্যাঁ বন্দরগুলি প্রাসঙ্গিক, আমি মূলত প্রশ্নের মূল নোটটি লক্ষ্য করছিলাম

— টম জে নওয়েল

2

আপনি যদি কেবলমাত্র ডাটাবেসটিতে অ্যাক্সেস গ্রহণ করেন localhost(এটি DB_HOSTহিসাবে সংজ্ঞায়িত করে অর্জিত হয় না localhost)? নিজে থেকে খুব বেশি নয় (সবচেয়ে খারাপ পরিস্থিতি আক্রমণকারী হ'ল অ্যাডমিন অ্যাকাউন্টটি গ্রহণ করবে), তবে অন্যান্য দুর্বলতার সাথে একত্রিত হয়ে আক্রমণকারীর পক্ষে আপনার কনফিগারটিতে অ্যাক্সেস পাওয়া সহায়ক হতে পারে।

লগইন শংসাপত্রসমূহ

লোকেরা তাদের ব্যবহারকারীর নাম এবং পাসওয়ার্ড পুনরায় ব্যবহার করে। একজন আক্রমণকারী আপনার ওয়ার্ডপ্রেস ইনস্টলেশন, আপনার হোস্টারের জন্য, আপনার ইমেল ইত্যাদির জন্য আপনার ডাটাবেস ব্যবহারকারীর নাম এবং পাসওয়ার্ড (বা তাদের বিভিন্নতা) কাজ করে কিনা তা যাচাই করবে will

খুব কমপক্ষে কোনও আক্রমণকারী আপনি কী ধরণের পাসওয়ার্ড ব্যবহার করেন সে সম্পর্কে ধারণা পাবেন (সম্পূর্ণ এলোমেলো, কেবল ছোট হাতের সংখ্যা / সংখ্যা, দৈর্ঘ্য ইত্যাদি)।

সারণী উপসর্গ

যদি কোনও এসকিউএল ইঞ্জেকশন সম্ভব হয় তবে আক্রমণকারীকে অবশ্যই টেবিলের নামগুলি জানতে হবে। ডাটাবেসের উপর নির্ভর করে এটি খুব সহজ হতে পারে, বা এটি অনুমান করা জড়িত থাকতে পারে। যদি এটি অনুমান করার সাথে জড়িত থাকে তবে সারণির উপসর্গ থাকা ভাল।

কী এবং লবণ

আমি এই নিবন্ধটি পেয়েছি যাতে আপনি সত্যিই এইগুলি ফাঁস করতে চান না বলে প্রমাণিত করেছেন (মূলত, কেউ আপনার অ্যাডমিন অ্যাকাউন্টটি নিতে পারে), যদিও আমি জানি না এটি কতটা আপ-টু-ডেট।

ডাটাবেস চারসেট

কিছু এসকিউএল ইঞ্জেকশন অক্ষর সেটের উপর নির্ভর করে, সুতরাং আক্রমণকারীর পক্ষে এটি জানা ভাল।

সারসংক্ষেপ

আপনি যদি পাসওয়ার্ডগুলি পুনরায় ব্যবহার না করেন এবং যদি আপনার কোথাও কোনও এসকিউএল ইঞ্জেকশন না থাকে তবে প্রধান উদ্বেগটি কী এবং লবণের বিষয় হবে the

— টিম
সূত্র

এই নিবন্ধটি যথেষ্ট আপ টু ডেট। আপনি চান না যে আপনার লবণ এবং কীগুলি ফাঁস হয়ে গেছে। সেগুলি ব্যক্তিগত তথ্য। এমনকি যদি সন্দেহ হয় যে এগুলি উপলভ্য করা হয়েছে তবে তাৎক্ষণিকভাবে এগুলি এলোমেলো ডেটার কয়েকটি সেটে পরিবর্তন করুন। এগুলি পরিবর্তন করার কোনও প্রকৃত খারাপ দিক নেই, এটি কেবল আপনাকে ওয়েবসাইট থেকে লগ আউট করবে এবং আপনাকে আবার লগ ইন করতে হবে। আপনি এখান থেকে নতুন এলোমেলোভাবে কী এবং লবণের সেট পেতে পারেন: api.wordpress.org/secret-key/1.1/salt

— অটো

1

আমি ধরে নিয়েছি আপনি পড়ার অ্যাক্সেস সম্পর্কে জিজ্ঞাসা করছেন, কারণ লেখার অ্যাক্সেসটি মূলত আপনার সাইটের সাথে তার পছন্দসই কিছু করতে নিজের কোড ইনজেকশনের অ্যাক্সেস।

আপনার অনুমান যে ডিবি তথ্য সংবেদনশীল নয় ভুল। ধরে নেওয়া যাক আপনার সাইটটি গডাডিতে হোস্ট করা হয়েছে। গডাড্ডি এএফআইএইচ একটি ডেডিকেটেড মাইএসকিএল সার্ভার ব্যবহার করছে যা সম্ভবত তাদের নিজস্ব সার্ভার থেকে অ্যাক্সেস করা যেতে পারে, তবে আমি যদি আপনার বিবরণটি জানি তবে গডাডি অ্যাকাউন্ট তৈরি করা এবং আপনার ডিবি অ্যাক্সেস করে এমন স্ক্রিপ্ট লিখতে আমার পক্ষে কতটা কঠিন? স্থানীয় ডিবিগুলির ক্ষেত্রে এটি ব্যবহার করা আরও শক্ত কিন্তু ভাগ্যবান হোস্টিং সার্ভারগুলিতে আপনার সাথে আপনার সাথে সার্ভার ভাগ করে নেওয়ার জন্য 100 টি সাইট থাকতে পারে, আপনি কি তাদেরকে যথেষ্ট সুরক্ষিত করে বিশ্বাস করতে পারেন যে মিঃ এভিল তাদের মধ্যে প্রবেশ করতে পারে না এবং আপনার সাইটে আক্রমণ করার জন্য তাদের ব্যবহার করতে পারে?

— মার্ক কাপলুন
সূত্র