Форум русской поддержки Joomla!® CMS
03.12.2016, 23:50:27 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Решение проблемы с загрузкой вирусов через форму добавления фото в AdsManager

 (Прочитано 579 раз)
0 Пользователей и 1 Гость смотрят эту тему.
grinat
Давно я тут
****

Репутация: +34/-2
Offline Offline

Пол: Мужской
Сообщений: 352



« : 22.09.2015, 14:06:08 »

На всех версиях AdsManager присутствует следующая проблема, злоумышленник, через форму загрузки фотографий загружает исполняемый php файл и далее с его помощью осуществляет любые манипуляции с сайтом.

Самое просто решение, это в папке images/com_adsmanager/ads и tmp/ создать файл .htaccess в котором прописать:
Цитировать
php_flag engine 0

Этот файл отключит php, и если даже хакер загрузит php файл, то он не сможет его выполнить и взлом Joomla сайта через AdsManager станет невозможным.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #1 : 22.09.2015, 14:12:55 »

На всех версиях AdsManager присутствует следующая проблема, злоумышленник, через форму загрузки фотографий загружает исполняемый php файл и далее с его помощью осуществляет любые манипуляции с сайтом.

Самое просто решение, это в папке images/com_adsmanager/ads и tmp/ создать файл .htaccess в котором прописать:
Этот файл отключит php, и если даже хакер загрузит php файл, то он не сможет его выполнить и взлом Joomla сайта через AdsManager станет невозможным.
Эта проблема, давно уже известная в паблике, и это не самое оригинальное решение!, считаю оптимальным решением для папки images, в ее корне положить htaccess с разрешенными расширениями, только картинок и доп. файлов, которые предусмотрены для заливки в нее...

а в tmp положить htaccess который вообще блокирует доступ из веба
Записан
grinat
Давно я тут
****

Репутация: +34/-2
Offline Offline

Пол: Мужской
Сообщений: 352



« Ответ #2 : 25.09.2015, 00:47:58 »

Эта проблема, давно уже известная в паблике, и это не самое оригинальное решение!, считаю оптимальным решением для папки images, в ее корне положить htaccess с разрешенными расширениями, только картинок и доп. файлов, которые предусмотрены для заливки в нее...
Этот вариант не подойдет. Поскольку в images хранятся файлы плагинов к AdsManager. А в папке tmp некоторые расширения хранили свои фиды.

И в images/com_adsmanager/ads   необязательно htaccess вешать. Написал поскольку точно не помню грузит ли в каких то версиях plupload свои файлы туда. Просто в новых версиях грузит в tmp, затем обрабатывает как изображение, и дальше только перемещает, соответственно исполняемый файл не сможет переместиться.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3525


« Ответ #3 : 25.09.2015, 00:50:32 »

а в tmp положить htaccess который вообще блокирует доступ из веба
Папку tmp можно и выше корня положить, хоть об заливайся туда, доступа с веба к ней не будет.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #4 : 25.09.2015, 01:47:50 »

Этот вариант не подойдет. Поскольку в images хранятся файлы плагинов к AdsManager. А в папке tmp некоторые расширения хранили свои фиды.
Файлы плагинов инклудятся на уровне кода а не с обращения из веба.
Цитировать
И в images/com_adsmanager/ads   необязательно htaccess вешать. Написал поскольку точно не помню грузит ли в каких то версиях plupload свои файлы туда. Просто в новых версиях грузит в tmp, затем обрабатывает как изображение, и дальше только перемещает, соответственно исполняемый файл не сможет переместиться.
в этом то вся и фишка! сначало грузит, а потом выполняется обработка!, т.е фиг сним что никуда не переместится, если папка открыта из веба то обращусь на прямую /tmp/plupload/shell.php
Записан
Mehanick
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 430


« Ответ #5 : 16.01.2016, 20:27:17 »

# запрет листинга всех папок и под-папок
Options -Indexes

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
<Files ~ ".(php)$">
Deny from all
</Files>
Записан
Mehanick
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 430


« Ответ #6 : 16.01.2016, 20:28:24 »

такое решеине пойдет в этих папках для htaccess?

и чем оно отлтичается от php_flag engine 0
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet