Информация к новости
  • Просмотров: 4155
  • Автор: Delgado
  • Дата: 9-02-2012, 19:38
9-02-2012, 19:38

Обеспечение защиты DLE папок скрипта от выполнения сторонних скриптов

Категория: Статьи


Обеспечение защиты DLE папок скрипта от выполнения сторонних скриптов


Одним из способов представляющих наибольшую угрозу для сайта можно назвать загрузку PHP шеллов на сервер. PHP шеллы являются исполняемыми на сервере скриптами, их возможности достаточно широки, а именно: внесение изменений в доступных файлах; чтение содержимого конфигурационных данных; прямое чтение из базы данных. Пути их загрузки достаточно разнообразны, благо идеальных скриптов не существует, а также не редки случаи обнаружения «дыр» в сторонних модулях, серверном ПО и скриптах, которые и являются теми самыми воротами для загрузки. Но особенность шеллов в том, что произвести их загрузку можно не в любую папку находящуюся на сервере, а лишь в ту, которая доступна для записи, например в DLE(DataLifeEngine) есть две таких папки: /templates/ и /uploads/(а также все вложенные в них). Т.к. эти папки наиболее часто используются злоумышленниками и не всегда по причине обнаруживающихся брешей в DLE, то их имеет смысл защитить. Это сделать не сложно. В папках размещается файл «.htaccess» содержащий следующий код:
“php_flag engine off”

Данный код используется для отключения PHP интерпретатора, когда к файлам находящимся в папках происходит обращение. Поэтому даже в случае удачной загрузки на сервер вредительского файла, он не будет выполняться сервером.

Однако данный способ не всегда сможет сработать из-за того, что некоторые хостинг-провайдеры блокируют управление через «.htaccess». В таком случае необходимо изменить содержимое этого файла на следующее:


Order allow,deny
Deny from all

Такой способ позволит запретить прямой доступ к PHP файлам в указанных папках.
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
^