M.I.D-Team - Best Nulled Scripts - DataLife Engine Nulled
M.I.D-Team - Best Nulled Scripts - DataLife Engine Nulled
M.I.D Team » DataLife Engine » Полезное » Защита папок скрипта от запуска сторонних скриптов
Защита папок скрипта от запуска сторонних скриптов
 +3 
Добавлено: 6.12.2011 в 14:43, автор MadMan, категория: DataLife Engine » Полезное, просмотров: 6741, комментариев: 6
Защита папок скрипта от запуска сторонних скриптовВ этой статье мы хотим рассказать вам о том как, как вам можно повысить безопасность вашего сайта. Как известно наибольшую угрозу для сайта представляют собой залитые злоумышленником на сервер PHP шеллы. Что это такое? Это PHP скрипты которые могут выполняться на вашем сервере, соответственно производить какие-либо изменения в файлах доступных для записи или могут, например читать содержимое конфигурационных данных и соответственно получать прямой доступ к базе данных. Каким образом могут попадать данные шеллы на ваш сервер? При обнаружении какой либо уязвимости в скрипте, или сторонних модулях, или вообще при наличии других уязвимых сторонних скриптов на сервере, или серверного ПО. Главная особенность заключается в том, что шеллы можно залить не в любые папки на сервере, а лишь в папки доступные для записи на сервере, и в DataLife Engine такими папками являются папки /uploads/ и /templates/, а также все вложенные в них папки. Данные папки должны иметь права на запись, т.к. вы в них заливаете посредством скрипта легальный контент, файлы, картинки, редактируете в админпанели шаблоны и прочее. И как правило в эти папки производится загрузка шеллов при обнаружении злоумышленником какой либо бреши на сервере в любом скрипте, даже не имеющем отношения к DataLife Engine. Можно ли защитить эти папки, в случае попадания в них зловредного PHP файла, ведь нельзя запретить доступ к этим папкам? Можно, и достаточно не сложно.

Итак, вам необходимо разместить в папках /uploads/ и /templates/ файл .htaccess со следующим содержимым:
php_flag engine  off


Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся в этих папках, а также находящимся во всех вложенных папках. Поэтому даже в случае заливки в эти папки файлов со зловредным PHP кодом, они становятся для злоумышленника совершенно бесполезными, т.к. попросту не будут запускаться и выполнятся сервером.

К сожалению далеко не все хостинг провайдеры позволяют управлять через .htaccess данным параметром, но для таких сайтов решение также существует, поэтому если на вашем сервере не работает вышеуказанный способ, то разместите в этих же папках .htaccess с содержимым:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
   Order allow,deny
   Deny from all
</FilesMatch>

Данный код запрещает прямое обращение к PHP файлам, находящимся в этих папках.

Вот собственно и все, эти несложные манипуляции позволят серьезно повысить безопасность вашего сайта, даже в случае если найдется серьезная уязвимость в сторонних модулях и скриптах.

Но если им удастся получить доступ к вашей админ панели, и они попытается разрешить заливку php скриптов.

Ну и д ля подстраховки можно сделать так.
Открыть: engine/inc/files.php и найти там:
$allowed_extensions = array ("gif", "jpg", "png", "jpe", "jpeg" );
$allowed_video = array ("avi", "mp4", "wmv", "mpg", "flv", "mp3", "swf", "m4v", "m4a", "mov", "3gp", "f4v" );
$allowed_files = explode( ',', strtolower( $config['files_type'] ) );
$img_result_th = "";
$img_result = "";


Заменяем на:
$allowed_extensions = array ("gif", "jpg", "png", "jpe", "jpeg" );
$allowed_video = array ("avi", "mp4", "wmv", "mpg", "flv", "mp3", "swf", "m4v", "m4a", "mov", "3gp", "f4v" );
$allow_conf = str_replace("php",md5(time() - rand(30,60)),strtolower( $config['files_type'] ));
$allowed_files = explode( ',', $allow_conf );
$img_result_th = "";
$img_result = "";


После этого вы очень сильно усложните заливку шелла на сайт, и сможете наконец спать спокойно!
Лучшая система размещения статей

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
canil
Группа: Пользователи
На сайте с: 10.01.2012
Комментариев: 13
Публикаций: 0
ICQ:
Комментарий:#1
Добавлено: 10 января 2012 в 15:18
Полезная штука. Поставлю себе на сайт. Большое человеческое спасибо good
utmanq
Группа: Пользователи
На сайте с: 17.01.2012
Комментариев: 2
Публикаций: 0
ICQ:
Комментарий:#2
Добавлено: 17 января 2012 в 19:02
Большое человеческое спасибо good
leonid1488
Группа: Пользователи
На сайте с: 6.06.2012
Комментариев: 1
Публикаций: 0
ICQ:
Комментарий:#3
Добавлено: 6 июня 2012 в 13:07
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*"&g
t;
Order allow,deny
Deny from all
</FilesMatch>

Правильно:

<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">

Order allow,deny
Deny from all
</FilesMatch>

Без "*" ;)
alex.sandyk
Группа: Пользователи
На сайте с: 26.02.2013
Комментариев: 2
Публикаций: 0
ICQ:
Комментарий:#4
Добавлено: 3 марта 2013 в 04:19
а в 9.8 это уже исправленно?? вроде в уплоадс уже так, а в темплейтес не так, я поставил как тут написано, или надо было не трогать?? админы заранее спасибо!!
allyof
Группа: Пользователи
На сайте с: 1.07.2013
Комментариев: 1
Публикаций: 0
ICQ:
Комментарий:#5
Добавлено: 1 июля 2013 в 09:58
а что последний способ конкретно меняет?
AgathaHex
Группа: Пользователи
На сайте с: 21.03.2020
Комментариев: 14
Публикаций: 0
ICQ: 127885628
Комментарий:#6
Добавлено: 25 марта 2020 в 12:32
Tr-Game v19xx Turkiyenin Farm Serveri Ronark Land
http://eegetc.shop/bit_comet_arkada%C5%9Flara_veri_g%C3%B6nderme_slotu.html
http://oqyuqc.shop/makaral%C4%B1_slot_dif%C3%BCz%C3%B6r.html
40 Super Hot - play free online slot casino game, 20 bet lines, Euro Games Technology
18+ | T&C Apply – To receive the welcome bonus a minimum deposit of £/€/$ 10 is required. The minimum deposit for En Iyi Slot Oyunlar other offers that require a deposit will be clearly communicated. Maximum bonus offered will be communicated in the details of each specific promo.
AGP è passato attraverso tre principali revisioni; l’ultima è l’AGP 8x, con un bandwidth di 2.1 GB/sec, otto volte più veloce rispetto all’AGP standard, che si assesta sui 266 MB/sec (32 ...
Minecraft servers. Free. Forever. Your very own Minecraft server, the only one that stays free forever. Language . ... We give you your very own personal Minecraft server, where you can play on with your friends all day and all night. Get yours now For Free.
peg是pci express显示卡输出 PCI是pci显示卡输出。 这两者是不同的插槽,你确定有PCI EXPRESS的显示卡? еЏ¦е¤–е‘ЉиЇ‰дЅ init display first(开机显示选择)з”ЁйЂ”пјљ 当您安装了pci express显示卡及pci显示卡时,此选项可让您设定系统由何处开ж
њєгЂ‚ 1 pci slot зі»з»џдјљд»Ћpci显示卡开机。
http://www.smbc-comics.com/smbcforum/viewtopic.php?f=1&t=68&p=160935#p160935 http://www.smbc-comics.com/smbcforum/viewtopic.php?f=40&t=4772&p=161224#p161224 22041a6

--------------------
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Апдейты
Яндекс тИЦ
25.06.2020 12:106 дней назад
27.05.2020 12:38
29.04.2020 12:25
Яндекс выдача
01.07.2020 02:58Вчера
28.06.2020 05:09
25.06.2020 04:28
ЯКаталог
16.01.2018 17:20897 дней назад
20.12.2017 20:05
15.12.2017 03:00
Google PR
26.11.2014 10:272045 дней назад
13.10.2014 18:43
28.05.2014 00:28
Панель пользователя
Рекомендуем
WebEffector - автоматическое продвижение сайтов с гарантиями качестваИнструменты статейного маркетинга Миралинкс - публикация статей на лучших сайта Рунета навсегда!ROOKEE.RU – система автоматизированного продвижения сайтов в поисковых системахSAPE.RU - покупка и продажа ссылокБиржа сайтов и доменов Telderi
Опрос
Какой тип Вашей лицензии DLE

Nulled от M.I.D-Team
Nulled от DleKey
Пожизненная лицензия
Годовая лицензия
Retail + Keygen
Nulled от школоты

 
Облако тегов
AJAX, Bullet Energy, CMS, Content Management System, DataLife Engine, DLE, DLE Edition, eleanor cms, English, forum, Google, Hide 5.4, iChat, LogicBoard, M.I.D-Team, Nulled, Referer, SEO, WYSIWYG, Зароботок, Модули, Переходы, Сaptcha, Хаки, Яндекс, безопасность, бесплатно, вебмастеру, внутренняя оптимизация, иконки, капча, локализация, монетизация, оптимизация, продвижение, скачать, трафик, форум, шаблоны, шрифты

Показать все теги
CY-PR.com
Copyright © 2004 - 2014 MID-Team