Một tập tin nhỏ có trong diễn đàn sử dụng nền tảng vBulletin lậu có thể bị khai thác để đánh cắp thông tin nhạy cảm.
Trong các phiên bản vBulletin lậu đã xóa bỏ mã kiểm tra bản quyền thường được gọi là "null version" chứa một tập tin có thể bị khai thác để xem toàn bộ danh sách các tin tập và thư mục trong thư mục cài đặt.vBulletin là phần mềm diễn đàn (forum) thương mại được phát triển trên ngôn ngữ PHP và cơ sở dữ liệu MySQL. Kể từ năm 2000, nền tảng vBulletin đã trở nên phổ biến hơn các nền tảng forum khác như phpBB và SMF (miễn phí) hay Invision Board (thương mại) nhờ vào chế độ hỗ trợ chuyên nghiệp, nhiều tính năng tích hợp sẵn và cộng đồng sử dụng cũng như phát triển các tiện ích mở rộng (mod, hack) khá đông đảo.
Hiện số lượng diễn đàn sử dụng vBulletin vượt hơn 1,6 triệu (qua kết quả tìm kiếm từ Google), trong đó phần lớn là các diễn đàn sử dụng vBulletin lậu (phiên bản Null).
Một trong các nhóm bẻ khóa thuật toán bảo vệ bản quyền vBulletin nổi tiếng nhất là DGT. Nhóm này thường xuyên phát hành các phiên bản "Nulled" chỉ sau vài ngày khi vBulletin chính thức có phiên bản mới.
Trong các gói "Nulled" được DGT phát hành rộng rãi trên mạng chứa một tập tin validator.php vốn dùng để kiểm tra lại toàn bộ dữ liệu trong gói phát hành có bị thay đổi bởi một "bàn tay thứ ba" nào hay không. Việc kiểm tra này của DGT nhằm giúp người dùng lậu tránh những tin tặc chèn thêm các tập tin chứa cửa hậu (backdoor) để hack diễn đàn.
Điều quan trọng ở đây là DGT khuyến cáo xóa đi validator.php ngay sau khi cài đặt forum thành công nhưng một số người dùng lậu "tay mơ" không đọc chỉ dẫn này và lưu lại tập tin trên máy chủ web cùng thư mục cài đặt.
Tập tin validator.php có thể truy xuất và thực thi qua trình duyệt khi có bất kỳ người dùng nào gõ đúng đường dẫn đến nó mà việc này có thể "nhờ cậy Google" khá dễ dàng và thế là toàn bộ đường dẫn của tất cả các tập tin trong thư mục cài đặt forum đều hiện ra. Tin tặc dày dạn kinh nghiệm có thể khai thác khá nhiểu thông tin nhạy cảm nếu một số thư mục quan trọng chưa được xóa mà chỉ đổi tên hoặc nắm rõ tên của tập tin sao lưu cơ sở dữ liệu (thường có dạng *.sql hay *.tar.gz) để tải về máy.
Validator và DGT không lạ với giới sử dụng vBulletin lậu. Tuy nhiên, khi sử dụng lậu bản quyền vBulletin, bạn có thể sẽ mất quyền điều khiển diễn đàn của mình kèm theo cả tài khoản lưu trữ web (hosting).
(Theo TuoiTreOnLine)
Bình luận
Bài này cảnh báo việc xài đồ lậu hay hướng dẫn cách dùng lậu an toàn
Nói chung mấy diễn đàn nhỏ nhỏ dùng lậu bị hack cũng chẳng ảnh hưởng đến ai. Còn diễn đàn lớn dùng lậu chắc chắn bị phát hiện (trừ khi hack được vào máy chủ của chính vBulletin và thêm bản quyền của mình vào).
Bác này nói hay ghê
Diễn đàn nhỏ nhỏ thì cũng chả ai thèm hack(cho pass cũng ngại click vào link derect). Còn diễn đàn lớn thì người ta đã mua bản quyền
nếu không thì lại gọi nó là diễn đàn con con tí hon của mấy bố sinh viên rảnh thời gian rồi
1 site lớn thì người ta luôn cố gắng tự viết code chứ không chơi mấy loại như Drupal đâu =))- [Đùa tí thôi]
"Xài lậu rủi ro Cao" Tại sao cái điệp khúc này nó cứ lặp đi lập lại mà chẳng thấy chán ! đa số người dùng lậu việtnam cứ download về là xóa đi 2 tập tin .diz và .nfo sau đó là cài mà chả cần quan tâm đến 2 tập tin ấy nó chứa cái gì !