Site icon Trickbd.com

ওয়েব সাইট সিকিউরিটি পর্ব ৩: htaccess ব্যবহার করে সাইটকে হ্যাকারদের এর হাত থেকে রক্ষা করুন ।

গত পর্বে আমরা দেখিয়েছি htaccess দিয়ে কিভাবে  Admin Authentication Bypass বাগস্ প্রটেক্ট করা যাবে তা । আজকে আমরা httaccess এর আরো কিছু ব্যবহার দেখবো যা  আপনাদের ওয়েবসাইটকে হ্যাকারদের হাত থেকে বাঁচাতে সাহায্য করবে ।

 

ডিরেক্টরী/ফেল্ডার ব্রাউজিং বন্ধ করা

 

কোনো সাইটে  index.htm, index.html , index.php ইত্যাদি ফাইল না থাকলে সেগুলোতে পিসির  ফোল্ডারের মত করে  ব্রাউজিং করা যায় । যেমন এই লিংক টা দেখুন । সার্ভার এর ঐ ফোল্ডার সহ এর সকল সাব ফোল্ডারই দেখা যাচ্ছে । এভাবে  ডিরেক্টরী/ফেল্ডার ব্রাউজিং বন্ধ করা না থাকলে সেন্সিটিভ তথ্য ফাঁস হবার একটা সম্ভাবনা থাকে ।

এটা বন্ধ করতে নিচের কোডটি ব্যবহার করুন ।

 

    # stop directory browsing

Options All -Indexes

 

সেনসিটিভ ফাইল ব্রাউজ করা বন্ধ করুন

 

 ধরুন সার্ভারে file.txt নামে একটা গুরুত্বপূর্ন ফাইল আছে, আপনি চান না এই ফাইল টা অন্যকেউ দেখতে পাক । সে ক্ষেত্রে নিচের কোড ব্যবহার করে এটা খুব সহজেই করতে পারবেন :

 

    <files file.txt>
order allow,deny
deny from all
</files>

আবার আপনি যদি চান ফাইলটা শুধু একটি নির্দিষ্ট আইপি থেকেই দেখা যাবে এমনটা করতে সে ক্ষেত্রে

    <files file.txt>
order allow,deny
allow from 0.0.0.0 ( এখানে 0.0.0.0 এর বদলে আইপি দিবেন)
deny from all
</files>

 

সেনসিটিভ ডিরেক্টরি ব্রাউজ করা বন্ধ করুন

আপনি চাইলে পুরো ডিরেক্টরিকেও এভাবে ব্লক/আনব্লক করতে পারেন । যেমন: আমি চাই আমার সাইটের এডমিন
প্যানেল শুধুমাত্র একটি নির্দিষ্ট আইপি থেকেই প্রবেশ করা যাবে সেক্ষেত্র ঐ ডিরেক্টরি তে htaccess ফাইল বানিয়ে নিচের কোডটি দিলেই হবে কাজ করবে ।

order allow,deny
deny from all
allow from xxx.xxx.xxx.xxx

xxx.xxx.xxx.xxx এর জায়গায় আপনার নির্দিষ্ট আই্পি হবে ।

htaccess ফাইলকে নিরাপদ রাখুন:

নিচের কোডটি htaccess ফাইলকে নিরাপদ রাখবে ।

প্রতিটা htaccess ফাইলে নিচের কোড টি দিবেন

<Files .htaccess>
order allow,deny
deny from all
</Files>

 

সাইটের ফাইল আপলোড ফোল্ডার সহ অন্য সেন্সিটিভ ডিরেক্টরি তে PHP ফাইল সহ অন্য এক্সটেনশনের ফাইল রান করা বন্ধ করুন :

নিচের কোডটি শুধুমাত্র jpg|jpeg|jpe|gif|png|tif|tiff এক্সটেনশনের ফাইল দেখতে দিবে

সুতরাং কেউ ঐ ফেল্ডারে html কিনবা php ফাইল আপলোড করলেও তা রান হবে না ।

# secure uploads directory
<Files ~ “.*\..*”>
Order Allow,Deny
Deny from all
</Files>
<FilesMatch “\.(jpg|jpeg|jpe|gif|png|tif|tiff)$”>
Order Deny,Allow
Allow from all
</FilesMatch>

 

অনেক হ্যাকার রা php.jpg php.gif এক্সটেনশনে শেল আপলোড করে এটা বন্ধ করতে

 

# Block double extensions from being uploaded or accessed, including htshells

<FilesMatch “.*\.([^.]+)\.([^.]+)$”>
Order Deny,Allow
Deny from all
</FilesMatch>

 

হ্যাকারদের ব্যবহূত শেলকে ব্লক করে দিন নিচের কোড দিয়ে

 

# Block shell uploaders, htshells, and other baddies
RewriteCond %{REQUEST_URI} ((php|my|bypass)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99|c100|r57|webadmin.*|phpget.*|phpwriter.*|fileditor.*|locus7.*|storm7.*)\.(p?s?x?htm?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml) [NC,OR]
RewriteCond %{REQUEST_URI} (\.exe|\.php\?act=|\.tar|_vti|afilter=|algeria\.php|chbd|chmod|cmd|command|db_query|download_file|echo|edit_file|eval|evil_root|exploit|find_text|fopen|fsbuff|fwrite|friends_links\.|ftp|gofile|grab|grep|htshell|\ -dump|logname|lynx|mail_file|md5|mkdir|mkfile|mkmode|MSOffice|muieblackcat|mysql|owssvr\.dll|passthru|popen|proc_open|processes|pwd|rmdir|root|safe0ver|search_text|selfremove|setup\.php|shell|ShellAdresi\.TXT|spicon|sql|ssh|system|telnet|trojan|typo3|uname|unzip|w00tw00t|whoami|xampp) [NC,OR]
RewriteCond %{QUERY_STRING} (\.exe|\.tar|act=|afilter=|alter|benchmark|chbd|chmod|cmd|command|cast|char|concat|convert|create|db_query|declare|delete|download_file|drop|edit_file|encode|environ|eval|exec|exploit|find_text|fsbuff|ftp|friends_links\.|globals|gofile|grab|insert|localhost|logname|loopback|mail_file|md5|meta|mkdir|mkfile|mkmode|mosconfig|muieblackcat|mysql|order|passthru|popen|proc_open|processes|pwd|request|rmdir|root|scanner|script|search_text|select|selfremove|set|shell|sql|sp_executesql|spicon|ssh|system|telnet|trojan|truncate|uname|union|unzip|whoami) [NC]
RewriteRule .* – [F]

আজ এই পর্যন্তই আগামী পর্বে htaccess এর আরো কিছু ব্যবহার সম্পর্কে দিবো । যেগুলো আপনার সাইটকে সিকিউর করতে সাহায্য করবে ।

 

আমি ফেসবুক এ : Conect With Facebook

অনেক তো লিখলাম এখন উপসংহার করি।

পোষ্টটি ভালো লাগলে আমার চ্যানেলটা সাবস্ক্রাইব করবেন।
আমার চ্যানেল

ধন্যবাদ –