Решение проблемы с загрузкой вирусов через форму добавления фото в AdsManager

  • 6 Ответов
  • 770 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

grinat

  • Давно я тут
  • ****
  • 356
  • 32
На всех версиях AdsManager присутствует следующая проблема, злоумышленник, через форму загрузки фотографий загружает исполняемый php файл и далее с его помощью осуществляет любые манипуляции с сайтом.

Самое просто решение, это в папке images/com_adsmanager/ads и tmp/ создать файл .htaccess в котором прописать:
Цитировать
php_flag engine 0

Этот файл отключит php, и если даже хакер загрузит php файл, то он не сможет его выполнить и взлом Joomla сайта через AdsManager станет невозможным.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
На всех версиях AdsManager присутствует следующая проблема, злоумышленник, через форму загрузки фотографий загружает исполняемый php файл и далее с его помощью осуществляет любые манипуляции с сайтом.

Самое просто решение, это в папке images/com_adsmanager/ads и tmp/ создать файл .htaccess в котором прописать:
Этот файл отключит php, и если даже хакер загрузит php файл, то он не сможет его выполнить и взлом Joomla сайта через AdsManager станет невозможным.
Эта проблема, давно уже известная в паблике, и это не самое оригинальное решение!, считаю оптимальным решением для папки images, в ее корне положить htaccess с разрешенными расширениями, только картинок и доп. файлов, которые предусмотрены для заливки в нее...

а в tmp положить htaccess который вообще блокирует доступ из веба
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

grinat

  • Давно я тут
  • ****
  • 356
  • 32
Эта проблема, давно уже известная в паблике, и это не самое оригинальное решение!, считаю оптимальным решением для папки images, в ее корне положить htaccess с разрешенными расширениями, только картинок и доп. файлов, которые предусмотрены для заливки в нее...
Этот вариант не подойдет. Поскольку в images хранятся файлы плагинов к AdsManager. А в папке tmp некоторые расширения хранили свои фиды.

И в images/com_adsmanager/ads   необязательно htaccess вешать. Написал поскольку точно не помню грузит ли в каких то версиях plupload свои файлы туда. Просто в новых версиях грузит в tmp, затем обрабатывает как изображение, и дальше только перемещает, соответственно исполняемый файл не сможет переместиться.

*

flyingspook

  • Moderator
  • *****
  • 3610
  • 236
а в tmp положить htaccess который вообще блокирует доступ из веба
Папку tmp можно и выше корня положить, хоть об заливайся туда, доступа с веба к ней не будет.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Этот вариант не подойдет. Поскольку в images хранятся файлы плагинов к AdsManager. А в папке tmp некоторые расширения хранили свои фиды.
Файлы плагинов инклудятся на уровне кода а не с обращения из веба.
Цитировать
И в images/com_adsmanager/ads   необязательно htaccess вешать. Написал поскольку точно не помню грузит ли в каких то версиях plupload свои файлы туда. Просто в новых версиях грузит в tmp, затем обрабатывает как изображение, и дальше только перемещает, соответственно исполняемый файл не сможет переместиться.
в этом то вся и фишка! сначало грузит, а потом выполняется обработка!, т.е фиг сним что никуда не переместится, если папка открыта из веба то обращусь на прямую /tmp/plupload/shell.php
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Mehanick

  • Завсегдатай
  • *****
  • 600
  • 1
# запрет листинга всех папок и под-папок
Options -Indexes

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
<Files ~ ".(php)$">
Deny from all
</Files>

*

Mehanick

  • Завсегдатай
  • *****
  • 600
  • 1
такое решеине пойдет в этих папках для htaccess?

и чем оно отлтичается от php_flag engine 0