prowebber.ru - Тут есть все для настоящих вебмастеров

Чтение RSS Мы в твиттере
«    Декабрь 2016    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Всё для вебмастера » Хакинг » Статьи » Частичное закрытие неизвестных уязвимостей в DLE

Частичное закрытие неизвестных уязвимостей в DLE


Данный материал предоставлен сайтом ProWebber.ru исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
У нас вы можете скачать бесплатно Частичное закрытие неизвестных уязвимостей в DLE.


Частичное закрытие неизвестных уязвимостей в DLE


В этой небольшой статье мы хотим рассказать вам о том как, как вам можно повысить безопасность вашего сайта. Как известно наибольшую угрозу для сайта представляют собой залитые злоумышленником на сервер PHP шеллы.

Что это такое? Это PHP скрипты которые могут выполняться на вашем сервере, соответственно производить какие-либо изменения в файлах доступных для записи или могут, например читать содержимое конфигурационных данных и соответственно получать прямой доступ к базе данных. Каким образом могут попадать данные шеллы на ваш сервер? При обнаружении какой либо уязвимости в скрипте, или сторонних модулях, или вообще при наличии других уязвимых сторонних скриптов на сервере, или серверного ПО. Главная особенность заключается в том, что шеллы можно залить не в любые папки на сервере, а лишь в папки доступные для записи на сервере, и в DataLife Engine такими папками являются папки /uploads/ и /templates/, а также все вложенные в них папки. Данные папки должны иметь права на запись, т.к. вы в них заливаете посредством скрипта легальный контент, файлы, картинки, редактируете в админпанели шаблоны и прочее. И как правило в эти папки производится загрузка шеллов при обнаружении злоумышленником какой либо бреши на сервере в любом скрипте, даже не имеющем отношения к DataLife Engine. Можно ли защитить эти папки, в случае попадания в них зловредного PHP файла, ведь нельзя запретить доступ к этим папкам? Можно, и достаточно не сложно.

Итак, вам необходимо разместить в папках /uploads/ и /templates/ файл .htaccess со следующим содержимым:
php_flag engine  off


Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся в этих папках, а также находящимся во всех вложенных папках. Поэтому даже в случае заливки в эти папки файлов со зловредным PHP кодом, они становятся для злоумышленника совершенно бесполезными, т.к. попросту не будут запускаться и выполнятся сервером.

К сожалению далеко не все хостинг провайдеры позволяют управлять через .htaccess данным параметром, но для таких сайтов решение также существует, поэтому если на вашем сервере не работает вышеуказанный способ, то разместите в этих же папках .htaccess с содержимым:
<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
   Order allow,deny
   Deny from all
</FilesMatch>


Данный код запрещает прямое обращение к PHP файлам, находящимся в этих папках.

Вот собственно и все, эти несложные манипуляции позволят серьезно повысить безопасность вашего сайта, даже в случае если найдется серьезная уязвимость в сторонних модулях и скриптах.

P.S.: Вроде ничего нового, но до celsoft'a это только дошло


+1
Просмотры: 5797 VIP ProWebber | Комментарии (27)
Теги: celsoft, security
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1fdsa1

  • 23 октября 2010 23:50
  • Регистрация: 17.09.2010
  • ICQ: 626127968
  • Комментариев: 287
  • Выкл.
Спасибо,было полезно прочитать smile

--------------------

0

#2Joey

  • 24 октября 2010 00:20
  • Регистрация: 5.01.2010
  • ICQ: 963285
  • Комментариев: 266
а если зальют простой html, а тамбудет инклуд с шелом?

--------------------

0

#3DaImeR

  • 24 октября 2010 00:44
  • Регистрация: 21.11.2009
  • ICQ: 416980738
  • Комментариев: 338
Joey,
Как я понял никакие рнр сценарии не будут выполняться, даже модули в шабах от CSR)

--------------------

0

#4Knoksi

  • 24 октября 2010 01:03
  • Регистрация: 4.10.2010
  • ICQ: --
  • Комментариев: 39
Модули шаблона будут выполнятся, т.к. они инклудятся из /engine/modules/, а второе, - они уже отдают сгенерированный HTML в шаб.

--------------------

0

#5DaImeR

  • 24 октября 2010 01:10
  • Регистрация: 21.11.2009
  • ICQ: 416980738
  • Комментариев: 338
Knoksi,
у меня например эти модули лежат в папке тем)

--------------------

0

#6west021

  • 24 октября 2010 03:19
  • Регистрация: 30.04.2010
  • ICQ: 332537669
  • Комментариев: 20
okСПС, полезная статья, сразу же делаю

--------------------

0

#7admiral

  • 24 октября 2010 07:26
  • Регистрация: 11.09.2010
  • ICQ: 137580
  • Комментариев: 9
С php_flag engine 0 соглашусь, а вот со вторым вариантом на сколько знаю file.php.rar или file.php.txt могут исполниться

0

#8Joey

  • 24 октября 2010 07:38
  • Регистрация: 5.01.2010
  • ICQ: 963285
  • Комментариев: 266
admiralside,
мм мне кажется file.php.rar если его ввести в адресной строке, то это будет как бы на скачку
а если file.php.txt он просто откроется как текстовый файл
если не прав, поправьте)

--------------------

0

#9locoste

  • 24 октября 2010 09:17
  • Регистрация: 14.09.2010
  • ICQ: 1498590
  • Комментариев: 34
oO) спс много чего узнал)

0

#10skchez

  • 24 октября 2010 10:38
  • Регистрация: 17.09.2010
  • ICQ: 243067
  • Комментариев: 33
  • Выкл.
Действительно спасибо помогло.

--------------------

-1

#11pernatik

  • 24 октября 2010 12:38
  • Регистрация: 4.02.2010
  • ICQ: 907089
  • Комментариев: 122
То что нужно =)

0

#12admiral

  • 24 октября 2010 12:51
  • Регистрация: 11.09.2010
  • ICQ: 137580
  • Комментариев: 9
Joey, текстовый файл не просто откроется в браузере, он так же сначало скачается, а что в нем будет, это уже другой вопрос, так же есть и склейка файлов и не только картинок, да и для загрузки картинок вполне достаточно 755 прав )

0

#13Silver_UA

  • 24 октября 2010 14:04
  • Регистрация: 18.09.2010
  • ICQ: --
  • Комментариев: 27
Спасибо, очень полезно!

--------------------

0

#14Knoksi

  • 24 октября 2010 16:03
  • Регистрация: 4.10.2010
  • ICQ: --
  • Комментариев: 39
DaImeR знач движок дырявый у тебя. Они не должны работать в папке тем + в документации к скинам Александра написано кидать в modules/

admiralside серверу пофигу как ты его зашифруешь. Есть mime-type, такчто получишь ссылку на скачивание.

--------------------

0

#15admiral

  • 24 октября 2010 18:23
  • Регистрация: 11.09.2010
  • ICQ: 137580
  • Комментариев: 9
Knoksi, это был лишь пример, не везде кстате rar прописан в mime, да и не так сложно подобрать другое расширение, тот же .jsp, .asp, .jfif и т.д., таков уж апач что в нем по умолчанию большенство расширений включены, а не наоборот. Попробуй в файл file.php.jfif например, с файлом htaccess в том же каталоге и отключеным php в нем, прописать какой нибудь echo с алертом document.cookie. jfif не опечатка, это тоже файл изображения как и jpeg. Поэтому в самом скрипте должна быть проверка на тип файла и добавление переменной в его название.

0

#16nikita_kay

  • 24 октября 2010 20:00
  • Регистрация: 15.10.2010
  • ICQ: --
  • Комментариев: 54
Уже сделал всё получилось!!!!!

0

#17Joey

  • 24 октября 2010 20:44
  • Регистрация: 5.01.2010
  • ICQ: 963285
  • Комментариев: 266
admiralside,
спасибо за ответ)

--------------------

0

#18Knoksi

  • 24 октября 2010 23:45
  • Регистрация: 4.10.2010
  • ICQ: --
  • Комментариев: 39
admiralside, .asp - это для платформы MS, соответственно там IIS, соответственно там и MSSQL, а ДЛЕ ведь на mysql.

Я себе лично поставил.

<FilesMatch ".*">
   Order allow,deny
   Deny from all
</FilesMatch>

<FilesMatch "\.(avi|mp3|mp4|flv|swf|wmv|xls|rar|zip)$|^$">
   Order deny,allow
   Allow from all
</FilesMatch>

<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
   Order allow,deny
   Deny from all
</FilesMatch>


т.е. изначально разрешения верхнего уровня, а потом ещё раз доп.я директива.

--------------------

0

#19west021

  • 25 октября 2010 11:00
  • Регистрация: 30.04.2010
  • ICQ: 332537669
  • Комментариев: 20
Knoksi, я не совсем понял, этот вариант надёжней?

--------------------

0

#20kurudereli

  • 26 октября 2010 20:34
  • Регистрация: 24.09.2009
  • ICQ: --
  • Комментариев: 18
Действительно спасибо

0
1 2
Предыдущая    Следующая
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.

Max-energy.top - Заработок на электросчетчиках;)

Skripters.info - все для вебмастера. Только эксклюзивный контент.

Создание шаблонов DLE, быстро и недорого! 3wave.com.ua

Бро лей на лучшую партнёрку

Почти бесплатный VDS хостинг!

Поддержи сайт
Скрипты, cms, шаблоны, статьи по раскрутке

Опросы

Как часто вы бываете на сайте?

Захожу 1-2 раза в день
1-2 часа в сутки
Более 2 часов
Почти целый день тут smile

Архив новостей
Ноябрь 2016 (7)
Октябрь 2016 (10)
Сентябрь 2016 (8)
Август 2016 (11)
Июль 2016 (14)
Июнь 2016 (17)

Последние комментарии:

Искать людей

Ваши переписки