Cài đặt lậu vBulletin gặp nhiều rủi ro

Một tập tin nhỏ có trong diễn đàn sử dụng nền tảng vBulletin lậu có thể bị khai thác để đánh cắp thông tin nhạy cảm.

Trong các phiên bản vBulletin lậu đã xóa bỏ mã kiểm tra bản quyền thường được gọi là "null version" chứa một tập tin có thể bị khai thác để xem toàn bộ danh sách các tin tập và thư mục trong thư mục cài đặt.

vBulletin là phần mềm diễn đàn (forum) thương mại được phát triển trên ngôn ngữ PHP và cơ sở dữ liệu MySQL. Kể từ năm 2000, nền tảng vBulletin đã trở nên phổ biến hơn các nền tảng forum khác như phpBB và SMF (miễn phí) hay Invision Board (thương mại) nhờ vào chế độ hỗ trợ chuyên nghiệp, nhiều tính năng tích hợp sẵn và cộng đồng sử dụng cũng như phát triển các tiện ích mở rộng (mod, hack) khá đông đảo.

Hiện số lượng diễn đàn sử dụng vBulletin vượt hơn 1,6 triệu (qua kết quả tìm kiếm từ Google), trong đó phần lớn là các diễn đàn sử dụng vBulletin lậu (phiên bản Null).

Một trong các nhóm bẻ khóa thuật toán bảo vệ bản quyền vBulletin nổi tiếng nhất là DGT. Nhóm này thường xuyên phát hành các phiên bản "Nulled" chỉ sau vài ngày khi vBulletin chính thức có phiên bản mới. 

Trong các gói "Nulled" được DGT phát hành rộng rãi trên mạng chứa một tập tin validator.php vốn dùng để kiểm tra lại toàn bộ dữ liệu trong gói phát hành có bị thay đổi bởi một "bàn tay thứ ba" nào hay không. Việc kiểm tra này của DGT nhằm giúp người dùng lậu tránh những tin tặc chèn thêm các tập tin chứa cửa hậu (backdoor) để hack diễn đàn.

Điều quan trọng ở đây là DGT khuyến cáo xóa đi validator.php ngay sau khi cài đặt forum thành công nhưng một số người dùng lậu "tay mơ" không đọc chỉ dẫn này và lưu lại tập tin trên máy chủ web cùng thư mục cài đặt.

Tập tin validator.php có thể truy xuất và thực thi qua trình duyệt khi có bất kỳ người dùng nào gõ đúng đường dẫn đến nó mà việc này có thể "nhờ cậy Google" khá dễ dàng và thế là toàn bộ đường dẫn của tất cả các tập tin trong thư mục cài đặt forum đều hiện ra. Tin tặc dày dạn kinh nghiệm có thể khai thác khá nhiểu thông tin nhạy cảm nếu một số thư mục quan trọng chưa được xóa mà chỉ đổi tên hoặc nắm rõ tên của tập tin sao lưu cơ sở dữ liệu (thường có dạng *.sql hay *.tar.gz) để tải về máy.

Validator và DGT không lạ với giới sử dụng vBulletin lậu. Tuy nhiên, khi sử dụng lậu bản quyền vBulletin, bạn có thể sẽ mất quyền điều khiển diễn đàn của mình kèm theo cả tài khoản lưu trữ web (hosting).

 

(Theo TuoiTreOnLine)

Từ khoá: cài đặt, lậu, rủi ro, vbulletin
Gửi vào Thứ hai, 25/1/2010 - 12:46, cập nhật vào 25/1/2010 - 12:48.
Tác giả Trần Đức Minh tham gia vào 8/10/2009, đã gửi 4 bài viết, đăng lại 235 bài và gửi 1 bình luận.

Bài liên quan

Phần mềm liên quan

Bình luận

Bình luận

BKAC gửi lúc 25/1/2010 - 18:41.

"Xài lậu rủi ro Cao" Tại sao cái điệp khúc này nó cứ lặp đi lập lại mà chẳng thấy chán ! đa số người dùng lậu việtnam cứ download về là xóa đi 2 tập tin .diz và .nfo sau đó là cài mà chả cần quan tâm đến 2 tập tin ấy nó chứa cái gì !

Hải Nam gửi lúc 25/1/2010 - 13:59.

Bài này cảnh báo việc xài đồ lậu hay hướng dẫn cách dùng lậu an toàn Big Grin

Nói chung mấy diễn đàn nhỏ nhỏ dùng lậu bị hack cũng chẳng ảnh hưởng đến ai. Còn diễn đàn lớn dùng lậu chắc chắn bị phát hiện (trừ khi hack được vào máy chủ của chính vBulletin và thêm bản quyền của mình vào).

Gửi bình luận mới

Nội dung của trường dữ liệu này được giữ kín và sẽ không được hiển thị công khai.
Các nội dung gửi qua biểu mẫu này sẽ được tự động xử lí để chống thông tin rác.

Bài mới nhất

Đang được quan tâm

Bình luận mới nhất

Đang thảo luận

Bài nổi bật

Phần mềm mới