0 Пользователей и 1 Гость просматривают эту тему.
  • 6 Ответов
  • 1140 Просмотров
*

grinat

  • Захожу иногда
  • 356
  • 34 / 2
На всех версиях AdsManager присутствует следующая проблема, злоумышленник, через форму загрузки фотографий загружает исполняемый php файл и далее с его помощью осуществляет любые манипуляции с сайтом.

Самое просто решение, это в папке images/com_adsmanager/ads и tmp/ создать файл .htaccess в котором прописать:
Цитировать
php_flag engine 0

Этот файл отключит php, и если даже хакер загрузит php файл, то он не сможет его выполнить и взлом Joomla сайта через AdsManager станет невозможным.
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
На всех версиях AdsManager присутствует следующая проблема, злоумышленник, через форму загрузки фотографий загружает исполняемый php файл и далее с его помощью осуществляет любые манипуляции с сайтом.

Самое просто решение, это в папке images/com_adsmanager/ads и tmp/ создать файл .htaccess в котором прописать:
Этот файл отключит php, и если даже хакер загрузит php файл, то он не сможет его выполнить и взлом Joomla сайта через AdsManager станет невозможным.
Эта проблема, давно уже известная в паблике, и это не самое оригинальное решение!, считаю оптимальным решением для папки images, в ее корне положить htaccess с разрешенными расширениями, только картинок и доп. файлов, которые предусмотрены для заливки в нее...

а в tmp положить htaccess который вообще блокирует доступ из веба
*

grinat

  • Захожу иногда
  • 356
  • 34 / 2
Эта проблема, давно уже известная в паблике, и это не самое оригинальное решение!, считаю оптимальным решением для папки images, в ее корне положить htaccess с разрешенными расширениями, только картинок и доп. файлов, которые предусмотрены для заливки в нее...
Этот вариант не подойдет. Поскольку в images хранятся файлы плагинов к AdsManager. А в папке tmp некоторые расширения хранили свои фиды.

И в images/com_adsmanager/ads   необязательно htaccess вешать. Написал поскольку точно не помню грузит ли в каких то версиях plupload свои файлы туда. Просто в новых версиях грузит в tmp, затем обрабатывает как изображение, и дальше только перемещает, соответственно исполняемый файл не сможет переместиться.
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
а в tmp положить htaccess который вообще блокирует доступ из веба
Папку tmp можно и выше корня положить, хоть об заливайся туда, доступа с веба к ней не будет.
*

winstrool

  • Давно я тут
  • 814
  • 51 / 2
  • Свободен для работы
Этот вариант не подойдет. Поскольку в images хранятся файлы плагинов к AdsManager. А в папке tmp некоторые расширения хранили свои фиды.
Файлы плагинов инклудятся на уровне кода а не с обращения из веба.
Цитировать
И в images/com_adsmanager/ads   необязательно htaccess вешать. Написал поскольку точно не помню грузит ли в каких то версиях plupload свои файлы туда. Просто в новых версиях грузит в tmp, затем обрабатывает как изображение, и дальше только перемещает, соответственно исполняемый файл не сможет переместиться.
в этом то вся и фишка! сначало грузит, а потом выполняется обработка!, т.е фиг сним что никуда не переместится, если папка открыта из веба то обращусь на прямую /tmp/plupload/shell.php
*

Mehanick

  • Давно я тут
  • 840
  • 5 / 0
# запрет листинга всех папок и под-папок
Options -Indexes

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
<Files ~ ".(php)$">
Deny from all
</Files>
*

Mehanick

  • Давно я тут
  • 840
  • 5 / 0
такое решеине пойдет в этих папках для htaccess?

и чем оно отлтичается от php_flag engine 0
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Мониторинг файлов CMS и сайта - предлагаю решение

Автор GRIG

Ответов: 18
Просмотров: 3651
Последний ответ 28.08.2020, 22:00:30
от cntrl
Сканеры находят кучу вирусов на чистой Joomla

Автор Letsad

Ответов: 10
Просмотров: 709
Последний ответ 20.04.2020, 19:09:08
от Letsad
Шел спам форму убрал но спам все равно идет хотя формы уже нет

Автор Mehanick

Ответов: 27
Просмотров: 1622
Последний ответ 29.02.2020, 18:26:55
от Mehanick
Бот для поиска вирусов и вредоносных скриптов CwisAntivirusBot

Автор winstrool

Ответов: 7
Просмотров: 589
Последний ответ 25.06.2019, 11:11:02
от khan-alex
Не могу зайти на сайт через админку, ввожу имя пользователя и пароль - не совп

Автор kolia2918

Ответов: 4
Просмотров: 741
Последний ответ 01.09.2018, 13:37:56
от wishlight