อย่างโฮสต์กับโดเมนเราเช่าเค้า หรือมีโฮสต์เองแต่จ้างคนดูแลหรือให้พนักงานเราดูแล ประมาณว่าไม่ค่อยรู้เรื่อง หรือ รู้เรื่องแต่ไม่ได้ดูแลเอง แบบนี้จะโดนขโมยเวปไปมั้ย สมมุติเวปสร้างรายได้มาก แล้วจะมีวิธีป้องกันอย่างไร
อ้างถึงจาก: mini11 ใน 17 มิถุนายน 2015, 17:50:42
อย่างโฮสต์กับโดเมนเราเช่าเค้า หรือมีโฮสต์เองแต่จ้างคนดูแลหรือให้พนักงานเราดูแล ประมาณว่าไม่ค่อยรู้เรื่อง หรือ รู้เรื่องแต่ไม่ได้ดูแลเอง แบบนี้จะโดนขโมยเวปไปมั้ย สมมุติเวปสร้างรายได้มาก แล้วจะมีวิธีป้องกันอย่างไร
เว็บระดับโลกก็สามารถโดนแฮกได้ง่าย ๆ ค่ะ
ไม่มีอะไรป้องกันได้ 100%
ใฃ่ครับตาม คห.บนเลย อย่างผมกับเพื่อนทำระบบมาแทบตายแต่สุดท้ายผู้ให้บริการโฮสกับขโมยสคริปไปดื้อๆเลย :'( แต่จะมีแค่โฮสบางที่เท่านั้นแหล่ะครับที่ขโมยข้อมูลของลูกค้า โฮสส่วนใหญ่เค้าไม่ทำกัน
ย้ายโดเมนมาจดกับผู้ให้บริการที่มีความน่าเชื่อถือครับ ส่วนข้อมูลก็ backup บ่อยๆ
เข้ามาฟังด้วยครับ น่ากลัวนะครับ :wanwan044:
สมมุตินะคะสมมุติว่าเวปหาเงินได้มากมาย ซึ่งมันล่อตาล่อใจ
แต่อันนี้ขอวิธีที่เป็นจริงได้ไม่สมมุตินะคะ
แล้วจะทำไงบ้างเพื่อป้องกันแม้จะไม่ 100%ก็ตาม แต่ขอแบบอุดรอยรั่ว ที่จะสามารถขโมยกันได้ไปเรื่อยๆก็ยังดี
อย่าง จากเป็นเช่าโฮสแล้วเป็นมีโฮสเองแล้วให้พนักงานดูแล? แต่พนักงานดูแลก็ต้องมีรหัสเพื่อเข้ามาดูแลอยู่ดีใช่มั้ยคะ
หรือ เวลาเข้ารหัสเราเป็นคนเข้าส่วนพนักงานก็ทำงานหลังจากนั้น แต่พนักงานก็สามารถเข้าไปเปลี่ยนรหัสใหม่ได้อยู่แล้วก็แฮ๊กไปง่ายๆเลยใช่มั้ยคะ
แล้วการที่พนักงานทำงานอยู่บ้านใครบ้านมันเพราะงานในเน็ตแค่นั่งหน้าคอมก็ได้ จะเป็นข้อเสียกว่าให้ทุกคนมาทำงานในสำนักงานที่เราจัดไว้ให้ให้มาทำงานรวมตัวกันมั้ยคะ
แล้วเราจะรู้ได้อย่างไรว่าโดนแฮ๊ก
แล้วถ้าโดนแฮ๊กแล้วต้องทำยังไงแก้ไขยังไงให้กลับมาใช้งานได้เร็วที่สุดคะ
เป็นไปได้ครับ :wanwan011:
ป้องกันยากครับ เราไม่รู้ใจเขา
อ้างถึงจาก: mini11 ใน 18 มิถุนายน 2015, 07:40:25
สมมุตินะคะสมมุติว่าเวปหาเงินได้มากมาย ซึ่งมันล่อตาล่อใจ
แต่อันนี้ขอวิธีที่เป็นจริงได้ไม่สมมุตินะคะ
แล้วจะทำไงบ้างเพื่อป้องกันแม้จะไม่ 100%ก็ตาม แต่ขอแบบอุดรอยรั่ว ที่จะสามารถขโมยกันได้ไปเรื่อยๆก็ยังดี
อย่าง จากเป็นเช่าโฮสแล้วเป็นมีโฮสเองแล้วให้พนักงานดูแล? แต่พนักงานดูแลก็ต้องมีรหัสเพื่อเข้ามาดูแลอยู่ดีใช่มั้ยคะ
หรือ เวลาเข้ารหัสเราเป็นคนเข้าส่วนพนักงานก็ทำงานหลังจากนั้น แต่พนักงานก็สามารถเข้าไปเปลี่ยนรหัสใหม่ได้อยู่แล้วก็แฮ๊กไปง่ายๆเลยใช่มั้ยคะ
แล้วการที่พนักงานทำงานอยู่บ้านใครบ้านมันเพราะงานในเน็ตแค่นั่งหน้าคอมก็ได้ จะเป็นข้อเสียกว่าให้ทุกคนมาทำงานในสำนักงานที่เราจัดไว้ให้ให้มาทำงานรวมตัวกันมั้ยคะ
แล้วเราจะรู้ได้อย่างไรว่าโดนแฮ๊ก
แล้วถ้าโดนแฮ๊กแล้วต้องทำยังไงแก้ไขยังไงให้กลับมาใช้งานได้เร็วที่สุดคะ
วางเครื่องเองเลยครับ ส่วนเว็บก็เขียนให้ไม่มีช่องโหว่
ดูแลเครื่องกับเว็บเอง ห้ามแชร์โฮสให้ใครเพราะอาจโดน jump domain ได้ เรื่องโฮสนี่ต้องระวังมากๆครับ ผมเห็นหลายเจ้าที่ให้บริการแชร์โฮส ยัง jump ได้อยู่เลย
ปล. Jump domain คือ ที่แฮกเว็บนึงแล้วไปแฮกอีกเว็บนึงที่อยู่ในเครื่องเดียวกันแต่ต่าง user
ลองเช่า VPS เครื่องของ ตปท ดูครับ มันไม่แชร์ IP กับใครดี
ถ้าโดนแฮกหรือขโมย Script หลักเลยคือ
1.รูรั่วมาจาก Script ของเราเอง ต่อให้เป็น Script สำเร็จรุปที่นิยมอย่าง Joomla , Wordpress ,SMF etc.. | ถ้ามี Bug ในรุ่น version นั้นๆยังไงก็โดนแฮกได้อยู่ดีครับ
(ยิ่ง Script ที่เขียนเองนี่ยิ่งแล้วใหญ่ถ้าไม่ตรวจสอบดีๆ มีช่องนิดนึงโดนแน่นอนครับ) :'(
2.รั่วมาจากผู้ให้บริการ Hosting อันนี้ต้องทำใจครับว่าเค้า Jump Domain มาจากนอกเว็บเราแล้วมาเข้าที่เว็บเราได้
วิธีดูว่าเว็บเราอยู่เครือเดียวกับเว็บที่มีโอกาสจะโดนแฮกแล้วจะลามมาถึงเราไหม
เข้าไปที่
http://viewdns.info/reverseip/
ใส่ IP เว็บเราเข้าไปครับ แล้วเช็คดูว่ามีกี่เว็บที่อยู่ IP เดียวกับเรา ถ้าเว็บเหล่้านั้นมี 1 เว็บเป็น Script เขียนเองแล้วมี Bug แน่นอนถ้าสมมุติมีสัก 100 เว็บ ที่ IP เดียวกันโดนหมด 100 เว็บครับ
:P
ทั้งหมดทั้งมวลนี้ไม่ว่าจะเป็นกรณีที่ 1 หรือกรณีที่ 2 มีวิธีป้องกันแบบเด็ดขาดอยู่ครับทำให้คนที่ไม่ได้เป็นเจ้าของหรือ root เข้ามายุ่งวุ่นวายกับเว็บไซต์เราได้ครับไม่ว่าจะเป็นพนักงานหรือ Hacker ซึ่งถ้าไม่ใช่ root จริงๆเข้าไม่ได้แน่นอน ถ้าเข้าได้ไม่ใช่ hacker แล้วครับ น่าจะเะป็นผู้ให้บริการ hosting เข้ามาเล่นเอง
+1 เดวมาต่อให้ครับอาบน้ำก่อน :wanwan017: :wanwan017: :wanwan017: :wanwan017:
รายได้จากเว็บถ้ามันล่อตาล่อใจก็อยู่ที่ผู้ดูแลเว็บนั่นแหล่ะรู้ เพราะเงินเวลามันโอนเข้ามันโอนเข้าเจ้าของเว็บไม่ใช่เจ้าของโฮสต์ เจ้าของโฮสต์จะรู้แค่ทราฟฟิกต่อวันเท่านั้น ไม่ได้มารับรู้รายได้อะไรว่าวันนึงขายได้เท่าไหร่ หรือมีคนติดต่อเข้ามาหาเจ้าของเว็บเท่าไหร่
การป้องกันยังไงก็ต้องมีรอยรั่ว Google Facebook ยังโดนแฮกได้เลย แต่เขามีทีมที่ชำนาญและแข็งแกร่งทำให้กู้ข้อมูลหรือแก้ไขได้อย่างรวดเร็ว จะบอกว่าอย่าไปกังวลให้มันมาก ไม่งั้นกลัวไปหมดไม่ต้องทำไรกันพอดี แค่ทำไรให้รัดกุม ตั้งรหัสผ่านยาก ๆ หมั่นเปลี่ยนพาสเวิร์ดและ backup ข้อมูลก็พอแล้ว หรือถ้ามีรายได้มากก็ตั้ง sever ของตัวเองไปเลย
มีทางเดียวคือ เปิดเครื่อง SERVER เอง ครับ แต่ต้องเป็นเว็บที่ดังจริงๆนะ ไม่งั้นไม่คุ้ม :wanwan004:
อ้างถึงจาก: BrainFreeze ใน 17 มิถุนายน 2015, 18:54:31
ย้ายโดเมนมาจดกับผู้ให้บริการที่มีความน่าเชื่อถือครับ ส่วนข้อมูลก็ backup บ่อยๆ
คงประมาณนี้แหละมัง
โฮสถึงโดนขโมยสคริป แต่โดเมนเป็นของเรา ใช้ว่าจะทำแข่งกันได้ง่ายๆ
อย่างถ้าวางเครื่องเอง เราก็ต้องจ้างคนดูแลให้ (ประมาณว่าไม่อยากทำเอง แล้วจ้างพนักงานดูแลแต่ละส่วน รวมถึงอัพเวป ฯลฯ)
เป็นเรื่องสมมุติ แต่อิงหลักความที่เป็นไปได้เพื่อขอเป็นความรู้คะ
ส่วนรายได้พนักงานไม่รู้ละเอียดว่าได้เท่าไหร่ แต่เมื่อมีโฆษณามาลงมาก หรือ ต่อให้เป็นโฆษณาฟรี แต่มีคนเข้าเวปมาก มันก็ล่อใจอยากได้ จริงมั๊ยคะ
แล้วอย่างเวปดังๆใหญ่ อย่าง เฟสบุ๊ค,อีเบย์,lnwshop ฯลฯ เค้าดูแล บริหารยังไงเพื่อไม่ให้ถูกขโมยเวปคะ ต้องมีการจดทะเบียนมั๊ย(ช่วยเรื่องถูดขโมยได้มั้ยถ้าจดทะเบียน) เค้าคงไม่มาลงมือทำเองใช่รึเปล่าคะ
เป็นความรู้มากๆ ค่ะ
อ้างถึงจาก: mini11 ใน 19 มิถุนายน 2015, 21:18:42
อย่างถ้าวางเครื่องเอง เราก็ต้องจ้างคนดูแลให้ (ประมาณว่าไม่อยากทำเอง แล้วจ้างพนักงานดูแลแต่ละส่วน รวมถึงอัพเวป ฯลฯ)
เป็นเรื่องสมมุติ แต่อิงหลักความที่เป็นไปได้เพื่อขอเป็นความรู้คะ
ส่วนรายได้พนักงานไม่รู้ละเอียดว่าได้เท่าไหร่ แต่เมื่อมีโฆษณามาลงมาก หรือ ต่อให้เป็นโฆษณาฟรี แต่มีคนเข้าเวปมาก มันก็ล่อใจอยากได้ จริงมั๊ยคะ
แล้วอย่างเวปดังๆใหญ่ อย่าง เฟสบุ๊ค,อีเบย์,lnwshop ฯลฯ เค้าดูแล บริหารยังไงเพื่อไม่ให้ถูกขโมยเวปคะ ต้องมีการจดทะเบียนมั๊ย(ช่วยเรื่องถูดขโมยได้มั้ยถ้าจดทะเบียน) เค้าคงไม่มาลงมือทำเองใช่รึเปล่าคะ
เว็บใหญ่ ๆ ระดับโลกการจัดการเวบแต่ละส่วนบนเว็บไซต์หลัก แบ่งตามสิทธิ์เซกชั่น/หน้าที่
แต่ละคนเข้าถึงโดยทำ Authentication SSL credential ไม่ใช่ ftp บ้านๆ แบบที่ใช้กัน
มี download permission กับทุกคน จึงไม่ต้องกลัวการขโมยสคริปส์
มันเป็นไปได้ครับ ที่จ้างคนดูแลนี่แหระ
ขอไม่พูดถึงการก๊อปปี้คอนเทน์นะครับ เพราะคุณคงไม่ได้หมายถึงกรณีนี้
น่าจะหมายถึง การเข้าถึงไฟล์ซอร์สโค้ด
ซึ่งการป้องกันที่ดี ก็คือ
1. ไม่ให้ใครรู้รหัสเลย และอาจต้องเปลี่ยนบ่อยพอควร ถ้าใช้หลายคนก็รหัสแยกกันเป็นรายบุคคล
2. ใช้ sftp จะปลอดภัยกว่า ftp
3. VPS, Dedicated จะปลอดภัยกว่า แชร์โฮสท์
4. เปลี่ยน url ของหน้า phpmyadmin เพื่อไม่ให้เข้าถึงหน้านี้โดยตรงได้ แต่กรณีนี้ทำได้เฉพาะ VPS , Dedicted
5. กรณีใช้ CMS ต้องป้องกันไม่ให้เข้าไปแก้ไฟล์ซอร์สโค้ดได้จากหน้าแอดมิน ( กรณีที่คุณจ้างคนอื่นดูแล )
ยังมีอีกเยอะครับ แต่พูดถึงคร่าวๆเท่านี้ก่อนแล้วกัน
หากมีคนตั้งใจจะแฮก มักจะหาช่องว่างได้ไม่ยาก โดยเฉพาะพวก CMS ดังๆ
เพราะคนรู้โค้ดเยอะมากอยู่แล้ว รวมทั้ง url ต่างๆมันบังคับด้วยพอร์ทต่างๆอยู่แล้ว รู้แค่ชื่อเว็บก็หาไอพีเว็บได้
หาพอร์ท หาเซอร์เวอร์ หาโฮสท์ที่เช่า ได้หมด
จากนั้นก็ลอง พิมพ์ url ของ phpmyadmin หรือ controlpanel หรือ webmail หรือ ftp. ของเว็บคุณ มันก็จะเจอช่องทางเข้าครบหมด
ทีนี้ก้อยู่ที่ username กับ password แล้วครับ
ต่อให้คุณเช่า cloud hosting ระดับโลก ก็ไม่เหลือ เพราะเขาไม่ได้แฮก cloud hosting ระดับโลก
เขาแฮกเว็บคุณที่เช่า cloud hosting ระดับโลก ต่างหาก
อ้างถึงจาก: mini11 ใน 19 มิถุนายน 2015, 21:18:42
อย่างถ้าวางเครื่องเอง เราก็ต้องจ้างคนดูแลให้ (ประมาณว่าไม่อยากทำเอง แล้วจ้างพนักงานดูแลแต่ละส่วน รวมถึงอัพเวป ฯลฯ)
เป็นเรื่องสมมุติ แต่อิงหลักความที่เป็นไปได้เพื่อขอเป็นความรู้คะ
ส่วนรายได้พนักงานไม่รู้ละเอียดว่าได้เท่าไหร่ แต่เมื่อมีโฆษณามาลงมาก หรือ ต่อให้เป็นโฆษณาฟรี แต่มีคนเข้าเวปมาก มันก็ล่อใจอยากได้ จริงมั๊ยคะ
แล้วอย่างเวปดังๆใหญ่ อย่าง เฟสบุ๊ค,อีเบย์,lnwshop ฯลฯ เค้าดูแล บริหารยังไงเพื่อไม่ให้ถูกขโมยเวปคะ ต้องมีการจดทะเบียนมั๊ย(ช่วยเรื่องถูดขโมยได้มั้ยถ้าจดทะเบียน) เค้าคงไม่มาลงมือทำเองใช่รึเปล่าคะ
มันล่อใจอยากได้ค่ะ แต่ทางปฏิบัติมันทำได้ยากเพราะมันมีขั้นตอนตรวจสอบ ไม่งั้นพวก บจก ระดับร้อยล้านพันล้านคงเจ๊งเพราะเจอพนักงานบัญชียักยอกเงินกันไปหมดแล้วค่ะ เพราะพนักงานบัญชีกับฝ่ายจัดซื้อนี่แหล่ะตัวดี รู้การเคลื่อนไหวทางการเงินในองค์กรทั้งหมด
ยากที่จะป้องกันครับ เพราะถ้าคนจะเอาจริงเขาก็เอาให้ได้
น่ากัวจุง :o
แวะมาฟังครับ :wanwan017:
ถ้ามีรายได้มากลองทำสคริปไว้หลายส่วนดูครับ :] แล้วแบ่งให้ดึงมาใช้งานจากแต่ละ Host :wanwan011: // ทำได้มั้ยนะ 555
ในมุมผม ผมว่าโดนขโมย Domain Name นี่น่ากลัวกว่า hosting กับ script เวปนะครับ
เพราะเวปไซต์ จะดังไม่ดัง อยู่ที่โดเมนล้วนๆ
ผมเลยคิดว่า ถึงเวปเราจะดัง โดนขโมยข้อมูลไป แต่ถ้าโดเมนยังอยู่กับเรา แบรนด์ยังเป็นของเรา ก็ไม่ยากครับ ที่จะปั้นขึ้นมาใหม่
:'(