Chống DDOS và bảo mật Hosting bằng .htaccess

10/01/2016

Hypertext Access hay còn gọi là htaccess là một tập tin dùng để cấu hình máy chủ web apache. Nó được máy chủ chấp nhận như là một thành phần và cho phép chúng ta thực hiện điều hướng và bật các tính năng một cách linh hoạt hoặc bảo vệ một phần (folder) nào đó của trang web.

Trong cái tên .htaccess thì htaccess là phần đuôi và tập tin này là không có tên (noname), chính vì thế khi bạn đưa file này lên host không phải lúc nào nó cũng hiển thị ra. Ví dụ bạn dùng Total Commander để xử lý file FTP thì bạn sẽ không thể thấy file .htaccess được.

Để thao tác với file .htaccess ta có thể sử dụng bất kì một editor nào hỗ trợ code text như Netbeans, PHP Designer, hay thậm chí là phần mềm notepadd có sẵn trong window.

Hôm nay tôi sẽ hướng dẫn các bạn Chống DDOS và bảo mật Hosting bằng .htaccess

Bước 1 : Tạo 1 file .htaccess trên máy tính của bạn hoặc thông qua Cpanel hosting

Bước 2 : Mở file .htaccess ra bằng trình xoạn thảo bất kỳ

Bước 3 : Thêm nội dung sau vào file .htaccess

order deny,allow
allow from 210.245.90.203
deny from all

order deny,allow

allow from 210.245.90.203

deny from all

theo dòng text trên thì IP 210.245.90.203 sẽ được allow vào thư mục admincp của bạn, ngoài ra những IP khác sẽ không thể truy cập được trừ IP được Allow. Để kiểm tra Ip máy tính bạn có thể tham khảo ở bài này

Cách Chmod file an toàn:

Thông thường khi bạn upload file lên hosting các file và foder sẽ mặc định chmod là

Đối với File là: 644
đối với Foder là: 755

và đa số nhiều mã nguồn sẽ yêu cầu chmod file config.php thành 777, điều này rất nguy hiểm khi một file cấu hình được chmod 777 vì nó có toàn quyền, đọc + ghi + xóa vì vậy bạn không nên chmod bất kỳ file nào thành 777 mà hãy chmod chuẩn theo cách sau để đảm bảo an toàn

Đối với File : 644 hoặc 600

Đối với file config.php hoặc wp-config.php hãy chmod : 400 để đảm bảo an toàn cho website của bạn

Đừng bao giờ chmod những file này thành 777

Nếu bất kỳ một file nào cần truy xuất dữ liệu ghi và đọc thì hãy chmod 666 thay vì chmod 777

Bảo mật cho một file bất kỳ bằng .htaccess

<FILES WP-CONFIG.PHP> ORDER ALLOW,DENY DENY FROM ALL </FILES>

1
2
3
4

<FILES WP-CONFIG.PHP>
ORDER ALLOW,DENY
DENY FROM ALL
</FILES>

Bảo vệ file .htaccess

<FILES .HTACCESS> ORDER ALLOW,DENY DENY FROM ALL </FILES>

1
2
3
4

<FILES .HTACCESS>
ORDER ALLOW,DENY
DENY FROM ALL
</FILES>

Tạo Firewall mềm đơn giản với .htaccess để chống DDOS

Tạo file .htaccess tại thư mục bị DDoS access/request liên tục (thông thường là các thư mục public_html, forum, diendan, 4rum v.v…). Nội dung file như sau:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?domaincuaban.com [NC]
RewriteRule !antiddos.phtml http://domaincuaban.com/antiddos.phtml?%{REQUEST_URI} [QSA]

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?domaincuaban.com [NC]

RewriteRule !antiddos.phtml http://domaincuaban.com/antiddos.phtml?%{REQUEST_URI} [QSA]

Sau đó tạo file antiddos.phtml đặt cùng thư mục với file .htaccess, với nội dung:

<?
$text=$HTTP_SERVER_VARS['QUERY_STRING'];
$text = preg_replace("#php&#si",'php?',$text);
echo('<center><a href=http://domaincuaban.com'.$text.'>[Nhấn vào đây]</a><br>để vào trang chủ.</center>');
?>

$text=$HTTP_SERVER_VARS['QUERY_STRING'];

$text = preg_replace("#php&#si",'php?',$text);

echo('<center><a href=http://domaincuaban.com'.$text.'>[Nhấn vào đây]</a><br>để vào trang chủ.</center>');

Chuyển hướng Website khi bị DDOS, khi bị DDOS các đợt tấn công sẽ nhắm vào đích là Domain của bạn, để bảo vệ CSDL tránh tốn băng thông cho hosting thì bạn có thể chuyển hướng Domain qua đích khác VD: facebook.com

Khi đó các cuộc tấn công thay vì sẽ tấn công vào domain của bạn thì sẽ bị chuyển các gói tin DDOS qua Facebook.

RewriteEngine On
RewriteRule ^(.*)$ http://facebook.com/$1 [R=301,L]

1 2	RewriteEngine On RewriteRule ^(.*)$ http://facebook.com/$1 [R=301,L]

Chống chạy file bất kỳ của bạn qua website khác ( cái này có thể chống chôm file hình ảnh cũng như các file khác tránh tốn tài nguyên của bạn )

#CHONG TROM FILE REWRITEENGINE ON REWRITECOND % !^$ REWRITECOND % !^HTTP://(WWW.)?TENMIENCUABAN.COM/.*$ [NC] #REWRITERULE .(GIF|JPG)$ – [F] #REWRITERULE .(GIF|JPG)$ HTTP://WWW.anonyviet.com/FILE.JPG [R,L]

1
2
3
4
5
6

#CHONG TROM FILE
REWRITEENGINE ON
REWRITECOND % !^$
REWRITECOND % !^HTTP://(WWW.)?TENMIENCUABAN.COM/.*$ [NC]
#REWRITERULE .(GIF|JPG)$ – [F]
#REWRITERULE .(GIF|JPG)$ HTTP://WWW.anonyviet.com/FILE.JPG [R,L]

Bạn có thể thêm bất kỳ file name nào vào trong phần (gif|jpg)

Chống chạy tên miền khác trên website của bạn

REWRITEENGINE ON REWRITECOND % DUYQUANG.NET [NC] REWRITERULE .* – [F]

1
2
3

REWRITEENGINE ON
REWRITECOND % DUYQUANG.NET [NC]
REWRITERULE .* – [F]

Chống trùng lặp nội dung

# SET THE CANONICAL URL REWRITEENGINE ON REWRITECOND % ^TENMIENCUABAN.COM$ [NC] REWRITERULE ^(.*)$ HTTP://WWW.TENMIENCUABAN.COM/$1 [R=301,L]

1
2
3
4

# SET THE CANONICAL URL
REWRITEENGINE ON
REWRITECOND % ^TENMIENCUABAN.COM$ [NC]
REWRITERULE ^(.*)$ HTTP://WWW.TENMIENCUABAN.COM/$1 [R=301,L]

Chống Spam comment

REWRITEENGINE ON REWRITECOND % POST REWRITECOND % .WP-COMMENTS-POST.PHP* REWRITECOND % !.*TENMIENCUABAN.COM.* [OR] REWRITECOND % ^$ REWRITERULE (.*) ^HTTP://%/$ [R=301,L]

1
2
3
4
5
6

REWRITEENGINE ON
REWRITECOND % POST
REWRITECOND % .WP-COMMENTS-POST.PHP*
REWRITECOND % !.*TENMIENCUABAN.COM.* [OR]
REWRITECOND % ^$
REWRITERULE (.*) ^HTTP://%/$ [R=301,L]