การปิด URL ชั่วคราว ip/~user เพื่อป้องกันการ Hack ข้าม User

URL ชั่วคราวนี้คือคุณสมบัติพิเศษของ DIrectAdmin ที่ยอมให้ผู้ใช้สามารถเข้าชมเว็บไซต์ได้ผ่านทาง URL ชั่วคราว

ยกตัวอย่างเล่น http://123.123.123.123/~user แต่คุณสมบัตินี้มีช่องโหว่ที่สามารถทำให้ Hacker สามารถวางไฟล์ข้าม User ได้ครับ

เพื่อป้องกันปัญหาที่อาจเกิดขึ้นเราแนะนำให้ลูกค้าทุกท่านปิดการใช้งานคุณสมบัตินี้ครับ

โดยดำเนินการตามขั้นตอนดังนี้


1. เข้าไปที่ DirectAdmin Custom Template

cd /usr/local/directadmin/data/templates/custom


2. ทำการ Copy ไฟล์ที่เอาไว้ทำ virtual host

cp ../ips_virtual_host.conf .


3. แก้ไขไฟล์ ips_virtual_host.conf โดยใช้คำสั่ง nano ตามด้วย -w เพื่อไม่ให้เกิดการขึ้นปบรรทัดใหม่ script จะได้ไม่ error ครับ

nano -w ips_virtual_host.conf


4. ค้นหาบรรทัดที่เขียนว่า AliasMatch และ ScriptAliasMatch เมื่อพบแล้วให้ใส่ เครื่องหมาย "#" ไว้ที่ต้นบรรทัด

#        AliasMatch ^/~([^/]+)(/.*)* /home/$1/public_html$2


5. สั่งให้ DirectAdmin รับการตั้งค่าใหม่

echo "action=rewrite&value=ips" >> /usr/local/directadmin/data/task.queue


6. แก้ไขไฟล์ httpd-vhosts.conf โดยใช้คำสั่ง nano ตามด้วย -w เพื่อไม่ให้เกิดการขึ้นปบรรทัดใหม่ script จะได้ไม่ error ครับ

nano -w /etc/httpd/conf/extra/httpd-vhosts.conf


7. ค้นหาบรรทัดที่เขียนว่า AliasMatch และ ScriptAliasMatch เมื่อพบแล้วให้ใส่ เครื่องหมาย "#" ไว้ที่ต้นบรรทัด

#        AliasMatch ^/~([^/]+)(/.*)* /home/$1/public_html$2



เป็นอันเรียบร้อยครับ จากนั้นให้ทดสอบเรียกURL ชั่วคราว อีกครั้ง จะพบว่าไม่สามารถเรียกชมเว็บไซต์ได้ครับ

Was this answer helpful?

 Print this Article

Also Read

วิธีย้าย Backup จาก cPanel มายัง DirectAdmin

ใช้กรณีลูกค้าให้ย้ายเว็บให้แต่ control panel เป็น cPanel ย้ายมา DirectAdmin อ้างถึง กระทู้หลัก...

วิธีติดตั้ง Module สำหรับเชื่อมต่อ MS SQL ให้กับ PHP บน DirectAdmin

โดยปกติ DirectAdmin จะมี MySQL Database ติดตั้งมาให้พร้อมใช้งานอยู่แล้วครับ...

การตั้ง Auto block Bruteforce attack ให้กับ DirectAdmin

สามารถทำได้โดยการสร้าง Script พิเศษให้ DirectAdmin โดยใช้ขั้นตอนดังนี้ครับ สร้างไฟล์ block_ip.sh...

วิธีปิด Brute-force notification ให้กับ DirectAdmin

หลายท่านคงมีปัญหากับ ข้อความ และ Email แจ้งเตือน Brute-force จาก DirectAdmin หากท่านมั่นใจว่า...

การติดตั้ง SpamAssassin สำหรับ DirectAdmin

วิธีนี้มีเขียนเยอะแยะเลยครับบน Internet แต่ผมมีวิธีใหม่ครับ โดยไม่ต้องไปติดตั้ง CPAN และ Perl...