Форум русской поддержки Joomla!® CMS
06.12.2016, 04:55:12 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Обезапасить сайт с помощью.htaccess в images

 (Прочитано 7179 раз)
0 Пользователей и 1 Гость смотрят эту тему.
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 470



« : 31.03.2013, 23:28:00 »

Добрый вечер, инетересует возможнсти прикрыть дыры в сайте j2.5.8. Где-то копался и нашел такой метод .Создается .htaccess с кодом
Код:
php_flag engine  off
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
И кладется в директорию images (права 755). Такой метод безопасен или не особо?Как я понял главная дыра обычно через images.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #1 : 01.04.2013, 10:28:39 »

может и такого хватить, обычно хватает

Код:
<Files ~ ".(php)$">
Deny from all
</Files>

а вообще думаю пусть все варианты каждый представит, а остальные либо выберут для себя либо сделается один верный и рабочий
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #2 : 01.04.2013, 10:39:12 »

Мой вариант)
Цитировать
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
Записан
verstalshik
Практически профи
*******

Репутация: +94/-1
Offline Offline

Сообщений: 1788



« Ответ #3 : 01.04.2013, 12:01:47 »

Мой вариант)
расшифруйте!))) вообще это же ведь дырень огромная! срочно уберите со своего сайта!!
с 1 апреля, не?)))
Записан
voland
Профи
********

Репутация: +487/-86
Online Online

Пол: Мужской
Сообщений: 8711


любит наш народ всякое гавно...


« Ответ #4 : 01.04.2013, 12:02:59 »

Не вижу шутки..
А вообще давно пора в дистрибутив такое включить...
Записан
verstalshik
Практически профи
*******

Репутация: +94/-1
Offline Offline

Сообщений: 1788



« Ответ #5 : 01.04.2013, 12:08:22 »

может и такого хватить, обычно хватает

Код:
<Files ~ ".(php)$">
Deny from all
</Files>

а вообще думаю пусть все варианты каждый представит, а остальные либо выберут для себя либо сделается один верный и рабочий
в папку tmp тоже, не?
Записан
voland
Профи
********

Репутация: +487/-86
Online Online

Пол: Мужской
Сообщений: 8711


любит наш народ всякое гавно...


« Ответ #6 : 01.04.2013, 12:13:32 »

в папку tmp тоже, не?
угу
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #7 : 01.04.2013, 12:23:24 »

добавлю для разъяснения некоторые вещи

фаил .htaccess могут перелазить и тогда все старания на смарку

права на файл .htaccess или директива в httpd.conf
Показать текстовый блок

вот некоторое разъяснение основного

Показать текстовый блок

Цитировать
в папку tmp тоже, не?
там по другому надо
Записан
WebDisaster
Осваиваюсь на форуме
***

Репутация: +12/-0
Offline Offline

Сообщений: 108


« Ответ #8 : 01.04.2013, 13:01:54 »

Мой вариант)
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
Вариант исходит из двух предположений:
1) используется 5 версия php (что не всегда верно - 4й ещё живее всех живых)
2) php установлен как модуль Апача, а не как cgi-приложение, что верно ещё реже.
--
Резюме: данный вариант сработает не всегда, хотя и более чем в половине случаев. Вариант flyingspook должен быть лучше, т.к. универсальнее. Но нужно провести натурные испытания в боевых условиях, т.к. практика говорит, что "всего всё равно не предусмотришь" ))
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #9 : 01.04.2013, 14:04:41 »

2) php установлен как модуль Апача, а не как cgi-приложение, что верно ещё реже.

php as fast-cgi ?
Записан
WebDisaster
Осваиваюсь на форуме
***

Репутация: +12/-0
Offline Offline

Сообщений: 108


« Ответ #10 : 01.04.2013, 17:44:56 »

cgi, fast-cgi и mod_php - это три разных варианта запуска интерпретатора php. Все они отличаются по производительности, потребляемым ресурсам и уровню безопасности. Кроме них ещё есть suPHP. Если на одном сервере и в одной ОС нужно "подружить" разные версии php, может одновременно стоять и выполняться и модуль php и php как cgi, или два (и более) cgi-приложений, или даже запускаться несколько апачей. Конкретная конфигурация во многом зависит от того, какая ОС на сервере. Ну и от админа, конечно ))
« Последнее редактирование: 01.04.2013, 19:26:44 от WebDisaster » Записан
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 470



« Ответ #11 : 01.04.2013, 23:03:04 »

Даже не ожидал увидеть такое количество постов) вроде тема больная (сам то я не имею опыта, т.к. с Joomla 3ий месяц работаю).
Прочел все вышенаписанное и возникло пару вопросов:
Т.е. такого достаточно, установив запрет доступа к файлам
Код:
<Files ~ ".(php)$">
Deny from all
</Files>
1.Т.е. в этом случае уже не надо делать запрет на запуск файлов(как в моем варианте)?.
2.Перелазить через .htaccess? Тут поподробнее, как от этого себя уберечь?
3.Что лучше сделать с папкой tmp (права  755). Как его уберечь?(вроде вторая дыра считается(не хочется заводить тему отдельно, тем более так или иначе этого вопроса касались, но однозначного ответа я не нашел).Заранее спасибо.
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #12 : 02.04.2013, 08:23:14 »

3.Что лучше сделать с папкой tmp (права  755). Как его уберечь?(вроде вторая дыра считается
Тот же .htaccess, с директивой на запрет выполнение скриптов. Мне более подходит с первого поста.
Я считаю вторым по важности каталог /cache.Ну а среди хакеров есть инфо, что папка /cache Joomla в 99% с правами 777.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #13 : 02.04.2013, 12:43:31 »

Цитировать
3.Что лучше сделать с папкой tmp (права  755). Как его уберечь?(вроде вторая дыра считается(не хочется заводить тему отдельно, тем более так или иначе этого вопроса касались, но однозначного ответа я не нашел).Заранее спасибо.
Цитировать
Я считаю вторым по важности каталог /cache.Ну а среди хакеров есть инфо, что папка /cache Joomla в 99% с правами 777.

ну давайте и папки соберем тогда

самые опасные это ссылочные и прочие папки с правами 777

распространенные от движка

cache
images
tmp

еще

logs
modules
template

ну и стоп

если еще начать перечислять то и паранойя близка, начнем тег <title> приписывать и favicon.ico переплетем, и дальше по схеме, и окажется что будешь вечно бесопасить а не сайтом заниматься)
Записан
verstalshik
Практически профи
*******

Репутация: +94/-1
Offline Offline

Сообщений: 1788



« Ответ #14 : 02.04.2013, 16:33:34 »

а еще есть гифки с вирусами, тогда и картинки все надо будет под контроль...
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #15 : 02.04.2013, 16:51:54 »

а еще есть гифки с вирусами, тогда и картинки все надо будет под контроль...
если закрыть РНР то гивку даже если конвертнуть то она работать не будет в этой папке
а вообще последние гифки заливались и конвертировались с правами автора на сколько помню если права были ниже то они так и валялись в своем формате
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #16 : 02.04.2013, 19:05:58 »

если закрыть РНР то гивку даже если конвертнуть то она работать не будет в этой папке
а вообще последние гифки заливались и конвертировались с правами автора на сколько помню если права были ниже то они так и валялись в своем формате
если есть на сайте LFI уязвимость то пофиг как там у вас конвертируется картинка... если нет спец обработки загружаемой картинки, то в нее можно встроить PHP код и проинклудить, в результате чего у злоумышленика будет шелл!
Записан
Ingener
Завсегдатай
*****

Репутация: +10/-5
Offline Offline

Сообщений: 561


« Ответ #17 : 02.04.2013, 19:49:29 »

Ват если такой вариант в каждую папку первого уровня, где учел вышесказанное и с учетом возможного переноса сайта на php 4 или на другой вариант php:

# запрет листинга всех папок и под-папок
Options -Indexes


php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp


# Отключаем PHP.
RemoveType php


<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

<Files ~ ".(php)$">
Deny from all
</Files>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
Order Deny, Allow
Deny from all

Такой htaccess правильный будет? Поправьте возможно чтото лишнее или продублировано
« Последнее редактирование: 02.04.2013, 20:59:37 от Ingener » Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #18 : 02.04.2013, 20:53:34 »

Главное не забывать иногда обновлять сайт и расширения. И все будет ок.
Записан
Ingener
Завсегдатай
*****

Репутация: +10/-5
Offline Offline

Сообщений: 561


« Ответ #19 : 02.04.2013, 21:28:23 »

Дл запрета в папках php правильно будет:?

<Files ~ ".(php)$">
Deny from all
</Files>

или

Order Deny, Allow
Deny from all
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1413


« Ответ #20 : 02.04.2013, 21:28:46 »

Цитировать
Главное не забывать иногда обновлять сайт и расширения. И все будет ок.

Да. Нет необходимости отключать php c помощью директив .htaccess в папке, куда идет загрузка. В редакторах Joomla загружаемые изображения очищаются от php кода (как я предполагаю).

Если речь идет о нестандартных способах загрузки, то тут, конечно, другой разговор.
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1413


« Ответ #21 : 02.04.2013, 21:48:15 »

Если позволить юзеру неконтролируемо загружать изображения, и при этом он знает путь к ним, и php работает в режиме cgi, что как я понимаю, означает, при правах на папку даже 755, он сможет набрать в адресной строке путь к загруженному файлу и выполнить его, то это не есть очень хорошо, на мой взгляд.
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #22 : 02.04.2013, 21:49:45 »

http://habrahabr.ru/qa/683/
Записан
capricorn
Живу я здесь
******

Репутация: +86/-0
Offline Offline

Сообщений: 1413


« Ответ #23 : 02.04.2013, 22:09:40 »

вот еще интересный материал для чтения на досуге.

http://habrahabr.ru/post/148999/

Цитировать
К превеликому удовольствию «исследователей безопасности», PHP позволяет вставлять выполнимый код в любое место любого файла, игнорируя всё, что не заключено в теги <? ?>
Записан
buto
Завсегдатай
*****

Репутация: +1/-0
Offline Offline

Пол: Мужской
Сообщений: 470



« Ответ #24 : 07.04.2013, 23:14:58 »

там по другому надо
А что надо делать с tmp?
Записан
DragOnFly
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 52


« Ответ #25 : 23.04.2016, 00:02:14 »

Народ, а чтобы значил в images такой файл .htaccess (права 444)?
Код:
<IfModule mod_php4.c>
php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
php_flag engine 0
</IfModule>

Order Allow,Deny
Deny from all
<Files ~ ".(svg|ttf|woff|csv|xml|rar|jpe?g|mp3|txt|mp4|pdf|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>
При этом рядом лежит файл .htaccess.1433428640 (права 644) с таким содержимым:
Код:
php_flag engine 0
Order Allow,Deny
Deny from all
<Files ~ ".(csv|xml|rar|jpe?g|mp3|txt|mp4|pdf|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>
Что-то как-то... того...
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #26 : 23.04.2016, 00:11:23 »

Отключено PHP и разрешенные форматы файлов указаны, второй  .htaccess.1433428640 это бекап скорей всего перед созданием где PHP запретили.
Записан
DragOnFly
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 52


« Ответ #27 : 23.04.2016, 00:25:37 »

Аааа.. теперь понятно - это такая защита, типа - везде всё запретить. Типа.
Начинаю елозить по дереву, выискивая западлянки, уже кой-чего удалил. В логе вот чего:
Код:
Ваш сайт: Неудачные попытки http://мой_сайт.ru/
Имя пользователя:tommiepaterson1
IP-адрес: 91.236.74.165 (вроде польша)
Дата и время:2016-04-22 11:53:10
Источник:Frontend
Хотя никакого фронтенда нет
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #28 : 23.04.2016, 11:53:25 »

Аааа.. теперь понятно - это такая защита, типа - везде всё запретить. Типа.
Это нормальное явление отключение PHP в папке где ему не место.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet