Обезапасить сайт с помощью.htaccess в images

  • 28 Ответов
  • 8322 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

buto

  • *****
  • 522
  • 1
Добрый вечер, инетересует возможнсти прикрыть дыры в сайте j2.5.8. Где-то копался и нашел такой метод .Создается .htaccess с кодом
Код
php_flag engine  off
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
И кладется в директорию images (права 755). Такой метод безопасен или не особо?Как я понял главная дыра обычно через images.

*

flyingspook

  • *****
  • 3609
  • 236
может и такого хватить, обычно хватает

Код
<Files ~ ".(php)$">
Deny from all
</Files>

а вообще думаю пусть все варианты каждый представит, а остальные либо выберут для себя либо сделается один верный и рабочий

*

winstrool

  • *****
  • 758
  • 39
  • Свободен для работы
Мой вариант)
Цитировать
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

verstalshik

  • *******
  • 1787
  • 93
Мой вариант)
расшифруйте!))) вообще это же ведь дырень огромная! срочно уберите со своего сайта!!
с 1 апреля, не?)))
❶ НЕ СПРАВЛЯЕШЬСЯ САМ???  Поможем тут...  ❷ Калькулятор доставки - ЗАКАЖИ!!!...  ❸ Каталог компаний - ЖМИ!!!...  ❹ НОВИЧКИ! ВСЕ сюда! Первая консультация БЕСПЛАТНО!!

*

voland

  • ********
  • 9365
  • 420
  • СКАЙП утерян! Пишите в телеграм @volandku
Не вижу шутки..
А вообще давно пора в дистрибутив такое включить...

*

verstalshik

  • *******
  • 1787
  • 93
может и такого хватить, обычно хватает

Код
<Files ~ ".(php)$">
Deny from all
</Files>

а вообще думаю пусть все варианты каждый представит, а остальные либо выберут для себя либо сделается один верный и рабочий
в папку tmp тоже, не?
❶ НЕ СПРАВЛЯЕШЬСЯ САМ???  Поможем тут...  ❷ Калькулятор доставки - ЗАКАЖИ!!!...  ❸ Каталог компаний - ЖМИ!!!...  ❹ НОВИЧКИ! ВСЕ сюда! Первая консультация БЕСПЛАТНО!!

*

voland

  • ********
  • 9365
  • 420
  • СКАЙП утерян! Пишите в телеграм @volandku

*

flyingspook

  • *****
  • 3609
  • 236
добавлю для разъяснения некоторые вещи

фаил .htaccess могут перелазить и тогда все старания на смарку

права на файл .htaccess или директива в httpd.conf
Спойлер
[свернуть]

вот некоторое разъяснение основного

Спойлер
[свернуть]

Цитировать
в папку tmp тоже, не?
там по другому надо

*

WebDisaster

  • ***
  • 107
  • 12
Мой вариант)
<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>
Вариант исходит из двух предположений:
1) используется 5 версия php (что не всегда верно - 4й ещё живее всех живых)
2) php установлен как модуль Апача, а не как cgi-приложение, что верно ещё реже.
--
Резюме: данный вариант сработает не всегда, хотя и более чем в половине случаев. Вариант flyingspook должен быть лучше, т.к. универсальнее. Но нужно провести натурные испытания в боевых условиях, т.к. практика говорит, что "всего всё равно не предусмотришь" ))

*

draff

  • *******
  • 2739
  • 169
  • step by step
2) php установлен как модуль Апача, а не как cgi-приложение, что верно ещё реже.

php as fast-cgi ?

*

WebDisaster

  • ***
  • 107
  • 12
cgi, fast-cgi и mod_php - это три разных варианта запуска интерпретатора php. Все они отличаются по производительности, потребляемым ресурсам и уровню безопасности. Кроме них ещё есть suPHP. Если на одном сервере и в одной ОС нужно "подружить" разные версии php, может одновременно стоять и выполняться и модуль php и php как cgi, или два (и более) cgi-приложений, или даже запускаться несколько апачей. Конкретная конфигурация во многом зависит от того, какая ОС на сервере. Ну и от админа, конечно ))
« Последнее редактирование: 01.04.2013, 21:26:44 от WebDisaster »

*

buto

  • *****
  • 522
  • 1
Даже не ожидал увидеть такое количество постов) вроде тема больная (сам то я не имею опыта, т.к. с Joomla 3ий месяц работаю).
Прочел все вышенаписанное и возникло пару вопросов:
Т.е. такого достаточно, установив запрет доступа к файлам
Код
<Files ~ ".(php)$">
Deny from all
</Files>
1.Т.е. в этом случае уже не надо делать запрет на запуск файлов(как в моем варианте)?.
2.Перелазить через .htaccess? Тут поподробнее, как от этого себя уберечь?
3.Что лучше сделать с папкой tmp (права  755). Как его уберечь?(вроде вторая дыра считается(не хочется заводить тему отдельно, тем более так или иначе этого вопроса касались, но однозначного ответа я не нашел).Заранее спасибо.

*

draff

  • *******
  • 2739
  • 169
  • step by step
3.Что лучше сделать с папкой tmp (права  755). Как его уберечь?(вроде вторая дыра считается
Тот же .htaccess, с директивой на запрет выполнение скриптов. Мне более подходит с первого поста.
Я считаю вторым по важности каталог /cache.Ну а среди хакеров есть инфо, что папка /cache Joomla в 99% с правами 777.

*

flyingspook

  • *****
  • 3609
  • 236
Цитировать
3.Что лучше сделать с папкой tmp (права  755). Как его уберечь?(вроде вторая дыра считается(не хочется заводить тему отдельно, тем более так или иначе этого вопроса касались, но однозначного ответа я не нашел).Заранее спасибо.
Цитировать
Я считаю вторым по важности каталог /cache.Ну а среди хакеров есть инфо, что папка /cache Joomla в 99% с правами 777.

ну давайте и папки соберем тогда

самые опасные это ссылочные и прочие папки с правами 777

распространенные от движка

cache
images
tmp

еще

logs
modules
template

ну и стоп

если еще начать перечислять то и паранойя близка, начнем тег <title> приписывать и favicon.ico переплетем, и дальше по схеме, и окажется что будешь вечно бесопасить а не сайтом заниматься)

*

verstalshik

  • *******
  • 1787
  • 93
а еще есть гифки с вирусами, тогда и картинки все надо будет под контроль...
❶ НЕ СПРАВЛЯЕШЬСЯ САМ???  Поможем тут...  ❷ Калькулятор доставки - ЗАКАЖИ!!!...  ❸ Каталог компаний - ЖМИ!!!...  ❹ НОВИЧКИ! ВСЕ сюда! Первая консультация БЕСПЛАТНО!!

*

flyingspook

  • *****
  • 3609
  • 236
а еще есть гифки с вирусами, тогда и картинки все надо будет под контроль...
если закрыть РНР то гивку даже если конвертнуть то она работать не будет в этой папке
а вообще последние гифки заливались и конвертировались с правами автора на сколько помню если права были ниже то они так и валялись в своем формате

*

winstrool

  • *****
  • 758
  • 39
  • Свободен для работы
если закрыть РНР то гивку даже если конвертнуть то она работать не будет в этой папке
а вообще последние гифки заливались и конвертировались с правами автора на сколько помню если права были ниже то они так и валялись в своем формате
если есть на сайте LFI уязвимость то пофиг как там у вас конвертируется картинка... если нет спец обработки загружаемой картинки, то в нее можно встроить PHP код и проинклудить, в результате чего у злоумышленика будет шелл!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Ingener

  • *****
  • 553
  • 5
Ват если такой вариант в каждую папку первого уровня, где учел вышесказанное и с учетом возможного переноса сайта на php 4 или на другой вариант php:

# запрет листинга всех папок и под-папок
Options -Indexes


php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp


# Отключаем PHP.
RemoveType php


<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

<Files ~ ".(php)$">
Deny from all
</Files>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
Order Deny, Allow
Deny from all

Такой htaccess правильный будет? Поправьте возможно чтото лишнее или продублировано
« Последнее редактирование: 02.04.2013, 22:59:37 от Ingener »


*

Ingener

  • *****
  • 553
  • 5
Дл запрета в папках php правильно будет:?

<Files ~ ".(php)$">
Deny from all
</Files>

или

Order Deny, Allow
Deny from all

*

capricorn

  • *******
  • 1634
  • 106
Цитировать
Главное не забывать иногда обновлять сайт и расширения. И все будет ок.

Да. Нет необходимости отключать php c помощью директив .htaccess в папке, куда идет загрузка. В редакторах Joomla загружаемые изображения очищаются от php кода (как я предполагаю).

Если речь идет о нестандартных способах загрузки, то тут, конечно, другой разговор.

*

capricorn

  • *******
  • 1634
  • 106
Если позволить юзеру неконтролируемо загружать изображения, и при этом он знает путь к ним, и php работает в режиме cgi, что как я понимаю, означает, при правах на папку даже 755, он сможет набрать в адресной строке путь к загруженному файлу и выполнить его, то это не есть очень хорошо, на мой взгляд.


*

capricorn

  • *******
  • 1634
  • 106
вот еще интересный материал для чтения на досуге.

http://habrahabr.ru/post/148999/

Цитировать
К превеликому удовольствию «исследователей безопасности», PHP позволяет вставлять выполнимый код в любое место любого файла, игнорируя всё, что не заключено в теги <? ?>

*

buto

  • *****
  • 522
  • 1
там по другому надо
А что надо делать с tmp?

Народ, а чтобы значил в images такой файл .htaccess (права 444)?
Код
<IfModule mod_php4.c>
php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
php_flag engine 0
</IfModule>

Order Allow,Deny
Deny from all
<Files ~ ".(svg|ttf|woff|csv|xml|rar|jpe?g|mp3|txt|mp4|pdf|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>
При этом рядом лежит файл .htaccess.1433428640 (права 644) с таким содержимым:
Код
php_flag engine 0
Order Allow,Deny
Deny from all
<Files ~ ".(csv|xml|rar|jpe?g|mp3|txt|mp4|pdf|flv|png|doc|docx|xls|xlsx|bmp|BMP|gif|ai|swf|zip|css|avi|ico|mpg|JPE?G|GIF|PNG|js)$">
Allow from all
</Files>
Что-то как-то... того...

*

flyingspook

  • *****
  • 3609
  • 236
Отключено PHP и разрешенные форматы файлов указаны, второй  .htaccess.1433428640 это бекап скорей всего перед созданием где PHP запретили.

Аааа.. теперь понятно - это такая защита, типа - везде всё запретить. Типа.
Начинаю елозить по дереву, выискивая западлянки, уже кой-чего удалил. В логе вот чего:
Код
Ваш сайт: Неудачные попытки http://мой_сайт.ru/
Имя пользователя:tommiepaterson1
IP-адрес: 91.236.74.165 (вроде польша)
Дата и время:2016-04-22 11:53:10
Источник:Frontend
Хотя никакого фронтенда нет

*

flyingspook

  • *****
  • 3609
  • 236
Аааа.. теперь понятно - это такая защита, типа - везде всё запретить. Типа.
Это нормальное явление отключение PHP в папке где ему не место.