Điểm yếu bảo mật khi sài script tự cài webserver VPSSIM​

Hôm rồi (22/01/2015) lúc chém bão trên face với vài người bạn thì vô tình tìm được kẽ hở của những ai đang sài script tự cài webserver của bên hostingaz.vn và có thể bị chiếm full quyền root mysql nếu may mắn nó thể chiếm luôn quyền root server nếu sài chung mật khẩu.Bài viết này để chỉ ra những điểm yếu và cách khắc phục cho người viết script tự động cài đặt VPSSIM và người dùng hiện tại đang còn sử dụng script này.

Thông tin script:

https://hostingaz.vn/3455-cai-dat-nginx-mariadb-php-fpm-lemp-toi-uu-bao-mat-vps-centos-vpssim.html

Lỗi:
1. Lưu thông tin cài đặt của server vào file.
2. Lưu thông tin CSDL của host vào file.
3. Sài mặc định 1 cấu hình cho trình quản lý CSDL phpMyAdmin.
4. Gợi ý cải thiện vấn đề bảo mật.

Sau đây là chi tiết lỗi:

1. Lưu thông tin cài đặt của server vào file.
Khi cài đặt VPS bằng script này thì sau khi hoàn thành các bước nó sẽ tự động lưu lại toàn bộ thông tin quan trọng của hệ thông bao gồm IP thật của server, domain serrver, port quản lý CSDL .File lưu trên server nằm mặc định theo Path và name dưới đây:

/home/VPSSIM-Setup-info.txt

2. Lưu thông tin CSDL của host vào file.
Đây là điều rất nguy hiểm vì khi vào được server thì mọi thứ dường như là cho không biếu không rồi, và điều đáng nói ở đây chính là cả thông tin tài khoản kết nối đến CSDL của hosting cũng như thông tin tài khoản root của MariaDB đều lưu lại. Thật nguy hiểm.

/home/DBinfo.txt

Với user và password của hosting đều là ký tự số với cùng chiều dài và được tạo random nhưng rất dễ để bruteforce khi có hash vì có chiều dài chuỗi mật khẩu và định dạng của mật khẩu chỉ gồm số và chữ thường 0-9a-z

Thông tin quản lý của Root MariaDB với password: /home/vpssim.conf

mainsite="sim.domain-root-server.com"
priport="8386"
serverip="Real-IP-server"
mariadbpass="abc.12345.6"

3. Sài mặc định 1 cấu hình cho trình quản lý CSDL phpMyAdmin.
Cái này thì những ai sài nó đều có cấu hình và path chung của phpMyAdmin và nó cũng giống như bao Panel khác có điều nó được gia tăng thêm chút bảo mật đó là Port truy cập sẽ do chính mình cấu hình. Các bạn view file để xem cấu hình cụ thể chính xác nếu vào dc host victim.Cấu hình chung là path: sim.domain-root-server.com:port

Các bạn xem ở:  /home/vpssim.conf

mainsite="sim.domain-root-server.com"
priport="8386"
serverip="Real-IP-server"
mariadbpass="abc.12345.6"

4. Gợi ý cải thiện vấn đề bảo mật.
Việc lưu toàn bộ thông tin vào file với dạng plain text đã vốn dĩ rất nguy hiểm.Nhưng tác giả hoàn toàn không gia cố đôi khi chỉ bằng những biện pháp cơ bản dưới đây cũng hạn chế được khá nhiều rủi ro cho người dùng.
- Không lưu trữ thông tin khi cài đặt và tạo tài khoản mới vào file.
- Nếu có lưu trữ thì nên move ra ngoài hoặc tạo thư mục riêng và phân quyền cẩn thận chỉ có quyền root mới được phép xem.
- Riêng những bạn nào đang sử dụng script này thì cách tốt nhất là các bạn lưu trữ tại máy của các bạn hoặc ở đâu đó an toàn và xóa các file chứa thông tin này đi.

Concobe