0 Пользователей и 1 Гость просматривают эту тему.
  • 28 Ответов
  • 10723 Просмотров
*

buto

  • Давно я тут
  • 542
  • 1 / 0
Добрый вечер, инетересует возможнсти прикрыть дыры в сайте j2.5.8. Где-то копался и нашел такой метод .Создается .htaccess с кодом
Код
php_flag engine  off
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
И кладется в директорию images (права 755). Такой метод безопасен или не особо?Как я понял главная дыра обычно через images.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
может и такого хватить, обычно хватает

Код
<Files ~ ".(php)$">
Deny from all
</Files>

а вообще думаю пусть все варианты каждый представит, а остальные либо выберут для себя либо сделается один верный и рабочий
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
Мой вариант)
Цитировать
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
*

verstalshik

  • Завсегдатай
  • 1754
  • 95 / 1
Мой вариант)
расшифруйте!))) вообще это же ведь дырень огромная! срочно уберите со своего сайта!!
с 1 апреля, не?)))
❶ НЕ СПРАВЛЯЕШЬСЯ САМ???  Поможем тут...  ❷ Калькулятор доставки - ЗАКАЖИ!!!...  ❸ Каталог компаний - ЖМИ!!!...  ❹ НОВИЧКИ! ВСЕ сюда! Первая консультация БЕСПЛАТНО!!
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
Не вижу шутки..
А вообще давно пора в дистрибутив такое включить...
*

verstalshik

  • Завсегдатай
  • 1754
  • 95 / 1
может и такого хватить, обычно хватает

Код
<Files ~ ".(php)$">
Deny from all
</Files>

а вообще думаю пусть все варианты каждый представит, а остальные либо выберут для себя либо сделается один верный и рабочий
в папку tmp тоже, не?
❶ НЕ СПРАВЛЯЕШЬСЯ САМ???  Поможем тут...  ❷ Калькулятор доставки - ЗАКАЖИ!!!...  ❸ Каталог компаний - ЖМИ!!!...  ❹ НОВИЧКИ! ВСЕ сюда! Первая консультация БЕСПЛАТНО!!
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
добавлю для разъяснения некоторые вещи

фаил .htaccess могут перелазить и тогда все старания на смарку

права на файл .htaccess или директива в httpd.conf
Спойлер
[свернуть]

вот некоторое разъяснение основного

Спойлер
[свернуть]

Цитировать
в папку tmp тоже, не?
там по другому надо
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
Мой вариант)
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
Вариант исходит из двух предположений:
1) используется 5 версия php (что не всегда верно - 4й ещё живее всех живых)
2) php установлен как модуль Апача, а не как cgi-приложение, что верно ещё реже.
--
Резюме: данный вариант сработает не всегда, хотя и более чем в половине случаев. Вариант flyingspook должен быть лучше, т.к. универсальнее. Но нужно провести натурные испытания в боевых условиях, т.к. практика говорит, что "всего всё равно не предусмотришь" ))
*

draff

  • Гуру
  • 5191
  • 368 / 7
  • ищу работу
2) php установлен как модуль Апача, а не как cgi-приложение, что верно ещё реже.

php as fast-cgi ?
*

WebDisaster

  • Захожу иногда
  • 108
  • 12 / 0
cgi, fast-cgi и mod_php - это три разных варианта запуска интерпретатора php. Все они отличаются по производительности, потребляемым ресурсам и уровню безопасности. Кроме них ещё есть suPHP. Если на одном сервере и в одной ОС нужно "подружить" разные версии php, может одновременно стоять и выполняться и модуль php и php как cgi, или два (и более) cgi-приложений, или даже запускаться несколько апачей. Конкретная конфигурация во многом зависит от того, какая ОС на сервере. Ну и от админа, конечно ))
« Последнее редактирование: 01.04.2013, 19:26:44 от WebDisaster »
*

buto

  • Давно я тут
  • 542
  • 1 / 0
Даже не ожидал увидеть такое количество постов) вроде тема больная (сам то я не имею опыта, т.к. с Joomla 3ий месяц работаю).
Прочел все вышенаписанное и возникло пару вопросов:
Т.е. такого достаточно, установив запрет доступа к файлам
Код
<Files ~ ".(php)$">
Deny from all
</Files>
1.Т.е. в этом случае уже не надо делать запрет на запуск файлов(как в моем варианте)?.
2.Перелазить через .htaccess? Тут поподробнее, как от этого себя уберечь?
3.Что лучше сделать с папкой tmp (права  755). Как его уберечь?(вроде вторая дыра считается(не хочется заводить тему отдельно, тем более так или иначе этого вопроса касались, но однозначного ответа я не нашел).Заранее спасибо.
*

draff

  • Гуру
  • 5191
  • 368 / 7
  • ищу работу
3.Что лучше сделать с папкой tmp (права  755). Как его уберечь?(вроде вторая дыра считается
Тот же .htaccess, с директивой на запрет выполнение скриптов. Мне более подходит с первого поста.
Я считаю вторым по важности каталог /cache.Ну а среди хакеров есть инфо, что папка /cache Joomla в 99% с правами 777.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Цитировать
3.Что лучше сделать с папкой tmp (права  755). Как его уберечь?(вроде вторая дыра считается(не хочется заводить тему отдельно, тем более так или иначе этого вопроса касались, но однозначного ответа я не нашел).Заранее спасибо.
Цитировать
Я считаю вторым по важности каталог /cache.Ну а среди хакеров есть инфо, что папка /cache Joomla в 99% с правами 777.

ну давайте и папки соберем тогда

самые опасные это ссылочные и прочие папки с правами 777

распространенные от движка

cache
images
tmp

еще

logs
modules
template

ну и стоп

если еще начать перечислять то и паранойя близка, начнем тег <title> приписывать и favicon.ico переплетем, и дальше по схеме, и окажется что будешь вечно бесопасить а не сайтом заниматься)
*

verstalshik

  • Завсегдатай
  • 1754
  • 95 / 1
а еще есть гифки с вирусами, тогда и картинки все надо будет под контроль...
❶ НЕ СПРАВЛЯЕШЬСЯ САМ???  Поможем тут...  ❷ Калькулятор доставки - ЗАКАЖИ!!!...  ❸ Каталог компаний - ЖМИ!!!...  ❹ НОВИЧКИ! ВСЕ сюда! Первая консультация БЕСПЛАТНО!!
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
а еще есть гифки с вирусами, тогда и картинки все надо будет под контроль...
если закрыть РНР то гивку даже если конвертнуть то она работать не будет в этой папке
а вообще последние гифки заливались и конвертировались с правами автора на сколько помню если права были ниже то они так и валялись в своем формате
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
если закрыть РНР то гивку даже если конвертнуть то она работать не будет в этой папке
а вообще последние гифки заливались и конвертировались с правами автора на сколько помню если права были ниже то они так и валялись в своем формате
если есть на сайте LFI уязвимость то пофиг как там у вас конвертируется картинка... если нет спец обработки загружаемой картинки, то в нее можно встроить PHP код и проинклудить, в результате чего у злоумышленика будет шелл!
*

Ingener

  • Давно я тут
  • 547
  • 10 / 5
Ват если такой вариант в каждую папку первого уровня, где учел вышесказанное и с учетом возможного переноса сайта на php 4 или на другой вариант php:

# запрет листинга всех папок и под-папок
Options -Indexes


php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp


# Отключаем PHP.
RemoveType php


<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

<Files ~ ".(php)$">
Deny from all
</Files>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
Order Deny, Allow
Deny from all

Такой htaccess правильный будет? Поправьте возможно чтото лишнее или продублировано
« Последнее редактирование: 02.04.2013, 20:59:37 от Ingener »
*

wishlight

  • Живу я здесь
  • 4872
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
Главное не забывать иногда обновлять сайт и расширения. И все будет ок.
*

Ingener

  • Давно я тут
  • 547
  • 10 / 5
Дл запрета в папках php правильно будет:?

<Files ~ ".(php)$">
Deny from all
</Files>

или

Order Deny, Allow
Deny from all
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Цитировать
Главное не забывать иногда обновлять сайт и расширения. И все будет ок.

Да. Нет необходимости отключать php c помощью директив .htaccess в папке, куда идет загрузка. В редакторах Joomla загружаемые изображения очищаются от php кода (как я предполагаю).

Если речь идет о нестандартных способах загрузки, то тут, конечно, другой разговор.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Если позволить юзеру неконтролируемо загружать изображения, и при этом он знает путь к ним, и php работает в режиме cgi, что как я понимаю, означает, при правах на папку даже 755, он сможет набрать в адресной строке путь к загруженному файлу и выполнить его, то это не есть очень хорошо, на мой взгляд.
*

wishlight

  • Живу я здесь
  • 4872
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
вот еще интересный материал для чтения на досуге.

http://habrahabr.ru/post/148999/

Цитировать
К превеликому удовольствию «исследователей безопасности», PHP позволяет вставлять выполнимый код в любое место любого файла, игнорируя всё, что не заключено в теги <? ?>
*

buto

  • Давно я тут
  • 542
  • 1 / 0
там по другому надо
А что надо делать с tmp?
*

DragOnFly

  • Осваиваюсь на форуме
  • 47
  • 0 / 0
Народ, а чтобы значил в images такой файл .htaccess (права 444)?
Код
<IfModule mod_php4.c>
php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
php_flag engine 0
</IfModule>

Order Allow,Deny
Deny from all
<Files ~ ".(svg|ttf|woff|csv|xml|rar|jpe?g|mp3|txt|mp4|pdf|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>
При этом рядом лежит файл .htaccess.1433428640 (права 644) с таким содержимым:
Код
php_flag engine 0
Order Allow,Deny
Deny from all
<Files ~ ".(csv|xml|rar|jpe?g|mp3|txt|mp4|pdf|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>
Что-то как-то... того...
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Отключено PHP и разрешенные форматы файлов указаны, второй  .htaccess.1433428640 это бекап скорей всего перед созданием где PHP запретили.
*

DragOnFly

  • Осваиваюсь на форуме
  • 47
  • 0 / 0
Аааа.. теперь понятно - это такая защита, типа - везде всё запретить. Типа.
Начинаю елозить по дереву, выискивая западлянки, уже кой-чего удалил. В логе вот чего:
Код
Ваш сайт: Неудачные попытки http://мой_сайт.ru/
Имя пользователя:tommiepaterson1
IP-адрес: 91.236.74.165 (вроде польша)
Дата и время:2016-04-22 11:53:10
Источник:Frontend
Хотя никакого фронтенда нет
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Аааа.. теперь понятно - это такая защита, типа - везде всё запретить. Типа.
Это нормальное явление отключение PHP в папке где ему не место.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Взломали сайт. Как в некоторых случаях делаю я

Автор cntrl

Ответов: 0
Просмотров: 200
Последний ответ 29.08.2020, 00:25:24
от cntrl
Безопасный вход на сайт Joomla и админка

Автор jm

Ответов: 9
Просмотров: 379
Последний ответ 19.07.2020, 23:57:17
от wishlight
[Руководство] Как защитить сайт на версии 1.5 (не поддерживается разработчиками)

Автор flyingspook

Ответов: 13
Просмотров: 3986
Последний ответ 08.01.2020, 12:52:55
от winstrool
Добавилась Запись в.htaccess

Автор Roki37

Ответов: 9
Просмотров: 615
Последний ответ 06.02.2019, 11:59:07
от Roki37
Реклама (взломали сайт)

Автор Emusarce

Ответов: 15
Просмотров: 936
Последний ответ 18.01.2019, 10:41:27
от ProtectYourSite