[DLE] Частичное закрытие неизвестных уязвимостей - Форум администраторов игровых серверов
Форум администраторов игровых серверов StormWall - Защита от DDos атак
Регистрация Мнения Справка Пользователи Календарь Все разделы прочитаны
Вернуться   Форум администраторов игровых серверов > Полезное / Common > Программирование / Programming > PHP

PHP Форум как для начинающих программистов на PHP так и для профессионалов этого дела. Если нужно создать скрипт, функцию и т.д, но не знаете как, спросите у нас и мы вам подскажем. Здесь вы найдете примеры скриптов которые вы сможете использовать на сайтах своих серверов (онлайн, регистрация, семь печатей, топ игроков). Так же много книг и статей.

Ответ
Опции темы
Непрочитано 25.10.2010, 07:11   #1
Аватар для Bonabo
Герой

Автор темы (Топик Стартер) [DLE] Частичное закрытие неизвестных уязвимостей

Дорогие друзья,

В этой небольшой статье мы хотим рассказать вам о том как, как вам можно повысить безопасность вашего сайта. Как известно наибольшую угрозу для сайта представляют собой залитые злоумышленником на сервер PHP шеллы. Что это такое? Это PHP скрипты которые могут выполняться на вашем сервере, соответственно производить какие-либо изменения в файлах доступных для записи или могут, например читать содержимое конфигурационных данных и соответственно получать прямой доступ к базе данных. Каким образом могут попадать данные шеллы на ваш сервер? При обнаружении какой либо уязвимости в скрипте, или сторонних модулях, или вообще при наличии других уязвимых сторонних скриптов на сервере, или серверного ПО. Главная особенность заключается в том, что шеллы можно залить не в любые папки на сервере, а лишь в папки доступные для записи на сервере, и в DataLife Engine такими папками являются папки /uploads/ и /templates/, а также все вложенные в них папки. Данные папки должны иметь права на запись, т.к. вы в них заливаете посредством скрипта легальный контент, файлы, картинки, редактируете в админпанели шаблоны и прочее. И как правило в эти папки производится загрузка шеллов при обнаружении злоумышленником какой либо бреши на сервере в любом скрипте, даже не имеющем отношения к DataLife Engine. Можно ли защитить эти папки, в случае попадания в них зловредного PHP файла, ведь нельзя запретить доступ к этим папкам? Можно, и достаточно не сложно.

Итак, вам необходимо разместить в папках /uploads/ и /templates/ файл .htaccess со следующим содержимым:

Код:
php_flag engine  off

Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся в этих папках, а также находящимся во всех вложенных папках. Поэтому даже в случае заливки в эти папки файлов со зловредным PHP кодом, они становятся для злоумышленника совершенно бесполезными, т.к. попросту не будут запускаться и выполнятся сервером.

Частичное закрытие неизвестных уязвимостей в DLE


К сожалению далеко не все хостинг провайдеры позволяют управлять через .htaccess данным параметром, но для таких сайтов решение также существует, поэтому если на вашем сервере не работает вышеуказанный способ, то разместите в этих же папках .htaccess с содержимым:

Код:
<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
   Order allow,deny
   Deny from all
</FilesMatch>
Данный код запрещает прямое обращение к PHP файлам, находящимся в этих папках.

Вот собственно и все, эти несложные манипуляции позволят серьезно повысить безопасность вашего сайта, даже в случае если найдется серьезная уязвимость в сторонних модулях и скриптах.
__________________
Если вопрос задан правильно, то ответ будет неожиданным.
Bonabo вне форума Ответить с цитированием
Непрочитано 05.02.2011, 21:55   #2
Аватар для Amorph1s
Пользователь

По умолчанию Re: [DLE] Частичное закрытие неизвестных уязвимостей

Какой из них будет работать везде? Как проверить какой из них работает на моем хостинге?
Amorph1s вне форума Отправить сообщение для Amorph1s с помощью ICQ Отправить сообщение для Amorph1s с помощью Skype™ Ответить с цитированием
Непрочитано 06.02.2011, 14:05   #3
Пользователь

По умолчанию Re: [DLE] Частичное закрытие неизвестных уязвимостей

Если php работает как модуль Apache, то скорее всего будет все работать. Если как CGI, то возможны варианты и скорее всего php_flag engine off будет отдавать ошибку 500.
tolik5190 вне форума Отправить сообщение для tolik5190 с помощью ICQ Ответить с цитированием
Непрочитано 06.02.2011, 20:41   #4
Аватар для NotSpecified
Олдфаг

По умолчанию Re: [DLE] Частичное закрытие неизвестных уязвимостей

А зачем это было публиковать?
Подобная тема на официальном сайте разработчика пылиться с 23 октября 2010

http://dle-news.ru/tips/1164-zaschit...-skriptov.html
NotSpecified вне форума Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Закрытие Open-Team VanoF Курилка / Yak floor 4 17.09.2010 18:52
Открывает сайт при закрытие клиента! RaZpiZdoS Серверная часть 13 19.04.2010 16:58
Закрытие клиента Nemesis Серверная часть 4 03.02.2010 14:58
Закрытие ОБТ Perfecto Игровые новости 0 25.12.2009 15:24
Закрытие возможности использовать баг с CP PROGRAMMATOR Lineage II 2 18.07.2009 21:39


© 2007–2020 «Форум администраторов игровых серверов»
Защита сайта от DDoS атак — StormWall
Работает на Булке неизвестной версии с переводом от zCarot
Текущее время: 13:34. Часовой пояс GMT +3.

Вверх