loading...

Авторизация ...

Имя пользователя :
Пароль :
я всё забыл!

Баг-фиксыЧастичное закрытие неизвестных уязвимостей в DLE

Написал AVET, 23 октября 2010 | 20 комментариев | рейтинг новости не нравится   +13   нравится Версия для печати
Дорогие друзья,

В этой небольшой статье мы хотим рассказать вам о том как, как вам можно повысить безопасность вашего сайта. Как известно наибольшую угрозу для сайта представляют собой залитые злоумышленником на сервер PHP шеллы. Что это такое? Это PHP скрипты которые могут выполняться на вашем сервере, соответственно производить какие-либо изменения в файлах доступных для записи или могут, например читать содержимое конфигурационных данных и соответственно получать прямой доступ к базе данных. Каким образом могут попадать данные шеллы на ваш сервер? При обнаружении какой либо уязвимости в скрипте, или сторонних модулях, или вообще при наличии других уязвимых сторонних скриптов на сервере, или серверного ПО. Главная особенность заключается в том, что шеллы можно залить не в любые папки на сервере, а лишь в папки доступные для записи на сервере, и в DataLife Engine такими папками являются папки /uploads/ и /templates/, а также все вложенные в них папки. Данные папки должны иметь права на запись, т.к. вы в них заливаете посредством скрипта легальный контент, файлы, картинки, редактируете в админпанели шаблоны и прочее. И как правило в эти папки производится загрузка шеллов при обнаружении злоумышленником какой либо бреши на сервере в любом скрипте, даже не имеющем отношения к DataLife Engine. Можно ли защитить эти папки, в случае попадания в них зловредного PHP файла, ведь нельзя запретить доступ к этим папкам? Можно, и достаточно не сложно.

Итак, вам необходимо разместить в папках /uploads/ и /templates/ файл .htaccess со следующим содержимым:
php_flag engine  off


Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся в этих папках, а также находящимся во всех вложенных папках. Поэтому даже в случае заливки в эти папки файлов со зловредным PHP кодом, они становятся для злоумышленника совершенно бесполезными, т.к. попросту не будут запускаться и выполнятся сервером.

Частичное закрытие неизвестных уязвимостей в DLE


К сожалению далеко не все хостинг провайдеры позволяют управлять через .htaccess данным параметром, но для таких сайтов решение также существует, поэтому если на вашем сервере не работает вышеуказанный способ, то разместите в этих же папках .htaccess с содержимым:
<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
   Order allow,deny
   Deny from all
</FilesMatch>

Данный код запрещает прямое обращение к PHP файлам, находящимся в этих папках.

Вот собственно и все, эти несложные манипуляции позволят серьезно повысить безопасность вашего сайта, даже в случае если найдется серьезная уязвимость в сторонних модулях и скриптах.

Источник: dle-news.ru

P.S. Собственно ничего нового...


Отблагодарили: pavel31, li4nost, garibas, Dogger, MeTaTRoN, elita_pro, sapfire65, olvas

Комментарии пользователей

  Экспорт комментариев в RSS
 Сортировать по рейтингу, по дате

Написал 3enit, 24 октября 2010 в 00:28 плохой комментарий   +1   хороший комментарий
Новостей: 0, комментариев: 26, Пользователи
Карма:
Спасибо за информацию =)

Написал gun, 24 октября 2010 в 11:11 плохой комментарий   -3   хороший комментарий
Новостей: 1, комментариев: 26, Пользователи
Карма:
А картинки тогда как будут показываться?

Написал AVET, 24 октября 2010 в 14:03 плохой комментарий   0   хороший комментарий
Новостей: 17, комментариев: 535, Редактор
Карма: 12±
Как и раньше. Параметр отключает отбработку РНР-интерпретатором кода в этих папках - в первом варианте. Во втором - запрещает доступ ко всем файлам PHP.

Написал Dogger, 24 октября 2010 в 11:12 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 5, Пользователи
Карма:
wink полезно)

Написал Azat869, 24 октября 2010 в 12:45 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 47, Пользователи
Карма:
Не помогло...
Обычно хтаксесс сносят перед заливкой шелла...так что смысл дописывать туда что либо отпадает

Написал AVET, 24 октября 2010 в 14:01 плохой комментарий   +2   хороший комментарий
Новостей: 17, комментариев: 535, Редактор
Карма: 12±
Права на .htaccess 644 либо 755.

Написал MeTaTRoN, 24 октября 2010 в 16:21 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 78, Пользователи
Карма:
Спасибо! Полезная вещь

Написал Stimul ;), 24 октября 2010 в 16:50 плохой комментарий   0   хороший комментарий
Новостей: 1, комментариев: 31, Пользователи
Карма:
Действительно полезная штука :) Спасибо! Побольше бы таких... ))

Написал BMS, 24 октября 2010 в 18:02 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 5, Пользователи
Карма:
Использую :


php_flag engine 0

AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp

Работает.

Написал MobileFilms, 24 октября 2010 в 23:10 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 71, Пользователи
Карма:
У меня перестали грузиться шаблоны и картинки. be

Написал AVET, 25 октября 2010 в 00:00 плохой комментарий   0   хороший комментарий
Новостей: 17, комментариев: 535, Редактор
Карма: 12±
В папку templates/_ШАБЛОН_/css и templates/_ШАБЛОН_/images файл .haccess

Order Deny,Allow
Allow from all

Написал berg, 25 октября 2010 в 12:22 плохой комментарий   +1   хороший комментарий
Новостей: 0, комментариев: 2, Пользователи
Карма:
DLE 8.5
если положить файл в /templates оба варианта ломают вывод шаблонов
в /uploads - вывод картинок ,аватарок итд

Написал pro10026, 25 октября 2010 в 19:12 плохой комментарий   0   хороший комментарий
Новостей: 1, комментариев: 6, Пользователи
Карма: -1±
Бред, тупо бред!!!
Написал новую тему, но она по ходу не прошла модерацию. Пишу здесь
открываем engine/inc/files.php
ищем
Внимание! У вас нет прав, для просмотра скрытого текста.

меняем на
Внимание! У вас нет прав, для просмотра скрытого текста.

Так же можно в эту str_replace(array("php","phtml", "htaccess") строку вставить другие расширения, которые предложил BMS (.php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp ). Удачи

Написал AVET, 26 октября 2010 в 01:49 плохой комментарий   0   хороший комментарий
Новостей: 17, комментариев: 535, Редактор
Карма: 12±
Отмодерировал.

Написал Sander1, 26 октября 2010 в 01:20 плохой комментарий   0   хороший комментарий
Новостей: 38, комментариев: 314, Пользователи
Карма: 21±
<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">

Эта строка определяет правило, которое будет действовать на все файлы с указанными расширениями. А вот вторая часть, "^$" мне не совсем понятна, AVET это все файлы без имени или что?
   Order allow,deny
   Deny from all

Для всех файлов подходящих к указанному правилу закрыть доступ.
</FilesMatch>

Конец правила.

AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp

Приказывает всем указанным файлам выполнятся как text/html

Написал AVET, 26 октября 2010 в 01:53 плохой комментарий   0   хороший комментарий
Новостей: 17, комментариев: 535, Редактор
Карма: 12±
Это дефолтовый .htaccess из uploads/files, только с другими расширениями и обратная директива.

Написал Vadyos, 28 января 2011 в 12:55 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 1, Пользователи
Карма:
Хорошая вещь 4

Написал fuzion, 28 января 2011 в 16:04 плохой комментарий   0   хороший комментарий
Новостей: 7, комментариев: 346, Пользователи
Карма:
php|php3|php4|php5|php6|phtml|phps
это не поможет, есть другие разширение файлов которые мало известны! На 80% можно спастись выше указанным описанием! статейка 4+.

Написал akm16, 21 февраля 2011 в 01:21 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 16, Пользователи
Карма:
Этот метод был для версий DLE ранее чем 9.2 верно?

Так как в 9.2 это уже реализовано с помощью .htaccess в папке uploads!

Кстати, почему вы заблокировали доступ только к PHP файлам?
Я понимаю что все в основном сидят на PHP хостингах, но ведь не стоит забывать и о других языках программирования.


Мой девиз в программировании: Если ты что-то пишешь, подумай об универсальности написанного тобой метода!

Немешало бы в список добавить файлы других форматов + CGI

=====================================================

Есть и другой метод - это наоборот указать типы файлов к которым разрешается доступ! (Предварительно запретив доступ ко всем файл-расширениям)

Написал olvas, 29 марта 2011 в 03:03 плохой комментарий   0   хороший комментарий
Новостей: 0, комментариев: 4, Пользователи
Карма:
Для безопасности важнее закрыть доступ к прокси-портам и установить доступ в админ панель только со своих айпишников.

Кроме того, нельзя забывать, что хакерские атаки часто выполняются в пакетном режиме, типа батов, если сервак сидит на винде.

То есть обработка команд не в пиэйчпи-файле, а в серии команд, с непосредсвенным общением к серваку.

Способ взлома старый, но надёжный!

Информация



Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
Анализ Тиц и PR сайта

[removed][removed] [removed] (adsbygoogle = window.adsbygoogle || []).push({}); [removed]