beh9am

جلوگیری از اجرای php در شاخه های آپلود

15 پست در این موضوع قرار دارد

سلام

چجوری میشه کاری کرد که فایل های php در شاخه های آپلود عکس مثل wp-content/uploads اصلا اجرا نشن

چون در این قسمت مشاهده شده که کاربران شل آپلود میکنن و در سایت خرابکاری میکنن

0

به اشتراک گذاری این پست


لینک به پست

هم میتونید از اپلود فایل php جلوگیری کنید

هم میتونید از اجرای فایل php در پوشه مورد نظر جلو گیری کنید

برای جلو گیری از اجرای فایل php در .htaccess کد زیر را قرار دهید و دسترسی به فایل های php و منع کنید


<FilesMatch \.php$>
SetHandler None
</FilesMatch>

اما اینم بگم اینم قابل دور زدن هست بهتره تمامی اسکریپت های سمت سرور رو غیر فعال کنید ... بازم هم قابل دور زدن هست ....

1

به اشتراک گذاری این پست


لینک به پست

هم میتونید از اپلود فایل php جلوگیری کنید

هم میتونید از اجرای فایل php در پوشه مورد نظر جلو گیری کنید

برای جلو گیری از اجرای فایل php در .htaccess کد زیر را قرار دهید و دسترسی به فایل های php و منع کنید


<FilesMatch \.php$>
SetHandler None
</FilesMatch>

اما اینم بگم اینم قابل دور زدن هست بهتره تمامی اسکریپت های سمت سرور رو غیر فعال کنید ... بازم هم قابل دور زدن هست ....

تشکر

چجوری باید از آپلود فایل php جلوگیری کنم ؟

پیشنهاد شما برای این مشکل بنده چیه ؟

تشکر

0

به اشتراک گذاری این پست


لینک به پست

میتونید کد بخش اپلود رو تغییر بدید یا افزونه ای نصب کنید که فایل رو قبل اپلود بررسی کنه اگه کد پی اچ پی یا سمت سرور بود اپلود نکنه ...

پیشنهاد بنده اینه سایتتون رو به یه متخصص امنیت وردپرس بسپارید

یه راه دیگه هم اینه که کاری کنید فقط از طریق اف تی پی بشه اپلود کرد تا کسی هک کرد مشخصات اف تی پی نداشت نتونه اپلود کنه

0

به اشتراک گذاری این پست


لینک به پست

میتونید کد بخش اپلود رو تغییر بدید یا افزونه ای نصب کنید که فایل رو قبل اپلود بررسی کنه اگه کد پی اچ پی یا سمت سرور بود اپلود نکنه ...

پیشنهاد بنده اینه سایتتون رو به یه متخصص امنیت وردپرس بسپارید

یه راه دیگه هم اینه که کاری کنید فقط از طریق اف تی پی بشه اپلود کرد تا کسی هک کرد مشخصات اف تی پی نداشت نتونه اپلود کنه

چجوری باید کد بخش آپلود را ویرایش کنم که بررسی بکنه ؟

ببینید من در سایتم 24 تا نویسنده دارم که از داخل خود سایت میتونن پست بدن و مستقیم بدون تایید میره به سایت

اینا همه چی هم میتونن آپلود بکنن قسمت انمتخاب عکس وقتی میزنن نوع فایل آپلودی رو all file زده که همه چی میشه آپلود کرد میخوام اونجا فقط بشه فرمت عکس اپلود بشه

متخصص امنیت وردپرس که میگید از کجا پیدا بکنم؟

یک نفر را از انجمن آشیانه پیدا کردم بعد از مدتی گفتیم نمیخوایم پیشتیبانی کنید اما نگو بک دور گذاشته بود خودش هک میکرد میگفت بدید امنیت دست من باشه

0

به اشتراک گذاری این پست


لینک به پست

وردپرس یه اسکریپت اپن سورسه از اسنادش جهت ویرایشش کمک بگیرید یا خودتون افزونه این بنویسید که محدودیت نوع فایل اپلودی بذاره شایدم روی اینترنت باشه از این افزونه ها

بنده نمیشناسم که معرفی کنم ولی یه هکر وردپرس متخصص امنیت خوبی نیست ...

0

به اشتراک گذاری این پست


لینک به پست

برای جلوگیری از آپلو فایل php کد زیر را در functions.php قالبتان بزارید :


function my_myme_types($mime_types){
unset($mime_types['php']);
return $mime_types;
}
add_filter('upload_mimes', 'my_myme_types', 1, 1);

1

به اشتراک گذاری این پست


لینک به پست

برای جلوگیری از آپلو فایل php کد زیر را در functions.php قالبتان بزارید :


function my_myme_types($mime_types){
unset($mime_types['php']);
return $mime_types;
}
add_filter('upload_mimes', 'my_myme_types', 1, 1);

بنده تشکر میکنم از این دوست خوبم ولی خواستم بگم این حرکت قابل دور زدن هست

مثلا کافیه فایل php5 یا perl یا حتی css jpg ذخیره شده باشه ... اما میشه درونشون کد سمت سرور باشه و اجرا بشه ... نیاز به فیلتر دقیقتر و کاملتری هست که یه متخصص تسلط داره

1

به اشتراک گذاری این پست


لینک به پست

چجوری باید کد بخش آپلود را ویرایش کنم که بررسی بکنه ؟

ببینید من در سایتم 24 تا نویسنده دارم که از داخل خود سایت میتونن پست بدن و مستقیم بدون تایید میره به سایت

اینا همه چی هم میتونن آپلود بکنن قسمت انمتخاب عکس وقتی میزنن نوع فایل آپلودی رو all file زده که همه چی میشه آپلود کرد میخوام اونجا فقط بشه فرمت عکس اپلود بشه

متخصص امنیت وردپرس که میگید از کجا پیدا بکنم؟

یک نفر را از انجمن آشیانه پیدا کردم بعد از مدتی گفتیم نمیخوایم پیشتیبانی کنید اما نگو بک دور گذاشته بود خودش هک میکرد میگفت بدید امنیت دست من باشه

عجب ! بنده خودم یکی از مدیر های آشیانه هستم و این حرف شما درست نیست

و یا اگر هم مسی باشه که رسمی و اعضای رسمی باشه میتونید اون از درجه منع کنید

به هرحال

برای آپلود نشدن php درون فولدر آپلود میتونید از httacess درون همون فولدر و محدود کردن پسوند استفاده کنید که بارها قبلا توضیح داده شده است

به همین سادگی هم نیست که بیاد تصویر آپلود کنه و اون به سورس تبدیل کنه اون برای قدیم بود و این روش تقریبا منقرض شده

شما باید اول تمام راه های امنیتی که باعث آپلود میشن بگیرید و بعدش به سراغ گالری و اون مقدار پارامتر بدید و سطح دسترسی کمترین حالت کنید

1

به اشتراک گذاری این پست


لینک به پست

برای جلوگیری از آپلو فایل php کد زیر را در functions.php قالبتان بزارید :


function my_myme_types($mime_types){
unset($mime_types['php']);
return $mime_types;
}
add_filter('upload_mimes', 'my_myme_types', 1, 1);

بنده تشکر میکنم از این دوست خوبم ولی خواستم بگم این حرکت قابل دور زدن هست

مثلا کافیه فایل php5 یا perl یا حتی css jpg ذخیره شده باشه ... اما میشه درونشون کد سمت سرور باشه و اجرا بشه ... نیاز به فیلتر دقیقتر و کاملتری هست که یه متخصص تسلط داره

تشکر دوستان

الان راه چاره من چیه ؟

با همین کد میشه امن شد ؟

0

به اشتراک گذاری این پست


لینک به پست

تشکر دوستان

الان راه چاره من چیه ؟

با همین کد میشه امن شد ؟

اصلا بالا خوندید ؟

این شما فقط .htacess درون فولدر upload قرار بدید و محدودیت php و یا... قرار بدید

همین پنل هم بررسی کنید و ببینید راهی برای آپلود هست یا خیر

در غیر این صورت این حرف که Bypass میشه با تغییر پسوند یا .... درست نیست جز زمانی که هکر دسترسی به سرور و یا .... داشته باشد

0

به اشتراک گذاری این پست


لینک به پست

عجب ! بنده خودم یکی از مدیر های آشیانه هستم و این حرف شما درست نیست

و یا اگر هم مسی باشه که رسمی و اعضای رسمی باشه میتونید اون از درجه منع کنید

به هرحال

برای آپلود نشدن php درون فولدر آپلود میتونید از httacess درون همون فولدر و محدود کردن پسوند استفاده کنید که بارها قبلا توضیح داده شده است

به همین سادگی هم نیست که بیاد تصویر آپلود کنه و اون به سورس تبدیل کنه اون برای قدیم بود و این روش تقریبا منقرض شده

شما باید اول تمام راه های امنیتی که باعث آپلود میشن بگیرید و بعدش به سراغ گالری و اون مقدار پارامتر بدید و سطح دسترسی کمترین حالت کنید

این که شما مدیر یه بخشی هستید دلیل نمیشه به من تهمت بزنید که دروغ میگم

با شما هم آشنا هستم بیشتر تو بخش وردپرس فعالین در آشیانه

حتی خود آقای بهروز هم همین کارو میکنن و بنده دلیل و مدرک دارم

نمیدونم چرا اینطوریه که وقتی میدی سرور را امن بکنن هزارتا راه نفوز برای خودشون میزارن که بعدا خرابکاری بکنن و دوباره بری پول بدی بهشون

خوب نیست شما هم ندونسته روی کاری پنهون کاری کنید

اصلا بالا خوندید ؟

این شما فقط .htacess درون فولدر upload قرار بدید و محدودیت php و یا... قرار بدید

همین پنل هم بررسی کنید و ببینید راهی برای آپلود هست یا خیر

در غیر این صورت این حرف که Bypass میشه با تغییر پسوند یا .... درست نیست جز زمانی که هکر دسترسی به سرور و یا .... داشته باشد

دوست عزیز چرا بابنده دعوا دارید ؟

این کارو خود مدیر سرور کرده بود اما هکر از قسمت اپلود فایلی به اسم c99.php.gif آپلود کرده بود با همون فایل دسترسی پیدا کرده بود

0

به اشتراک گذاری این پست


لینک به پست

شما اول بخونید متوجه میشید که بنده چی گفتم

و یا اگر هم مسی باشه که رسمی و اعضای رسمی باشه میتونید اون از درجه منع کنید

بنده گفتم میتونید پیگیر این مسئله باشید که یکی از مدیرها و یا اعضا رسمی مرتکب این کار شده است باید تاوان و یا خسارت شما بدهد شما بخونید بعد تصمیم بگیرید

با شما هم آشنا هستم بیشتر تو بخش وردپرس فعالین در آشیانه

فکر میکنم بهتر باشه به بخش امنیت و تست نفوذ پذیری هم سری بزنید مخصوصا ایمن سازی مدیریت های محتوا و یا.... :)

حتی خود آقای بهروز هم همین کارو میکنن و بنده دلیل و مدرک دارم

نمیدونم چرا اینطوریه که وقتی میدی سرور را امن بکنن هزارتا راه نفوز برای خودشون میزارن که بعدا خرابکاری بکنن و دوباره بری پول بدی بهشون

هر کسی عقیده هایی داره که قابل احترام هست مثل شما اما فکر نمیکنم اشخاص معتبر بیان و اعتبار خودشون با قرار دادن بک دور زیر سوال ببرن

هیچ امنیت کامل وحود ندارد و اگر شما مدارکی برای اثبات دارید میتونید شکایت کنید و از شرکت ایشون خسارت های وارده بگیرید

--------------

موفق باشید

0

به اشتراک گذاری این پست


لینک به پست

شما اول بخونید متوجه میشید که بنده چی گفتم

بنده گفتم میتونید پیگیر این مسئله باشید که یکی از مدیرها و یا اعضا رسمی مرتکب این کار شده است باید تاوان و یا خسارت شما بدهد شما بخونید بعد تصمیم بگیرید

فکر میکنم بهتر باشه به بخش امنیت و تست نفوذ پذیری هم سری بزنید مخصوصا ایمن سازی مدیریت های محتوا و یا.... :)

هر کسی عقیده هایی داره که قابل احترام هست مثل شما اما فکر نمیکنم اشخاص معتبر بیان و اعتبار خودشون با قرار دادن بک دور زیر سوال ببرن

هیچ امنیت کامل وحود ندارد و اگر شما مدارکی برای اثبات دارید میتونید شکایت کنید و از شرکت ایشون خسارت های وارده بگیرید

--------------

موفق باشید

بله در اونجا هم تاپیک زدم ولی همش پاک میکنن یوزر اصلیم رو هم آقای بهروز به خاطر مشکلات شکایت و ... حذف کردن

اشتباه همینجاست که فکر میکنیم کسی که اعتبار داره همچین کارینمیکنه

بنده شکایت کردم و حتی خسارت هم از ایشون گرفتم

0

به اشتراک گذاری این پست


لینک به پست

ارسال شده در (ویرایش شده)

به هرحال

در عنوان گفتید که میخواهید php آپلود نشود که خب شلر با ... باشد

به صورت پیشفرض آپلود نمیشه اما اگر هم به هر طریقی بشه با محدودیت پسوند درون htacess فولدر upload مانع از اجرا میشید

اگر هم شل به صورت تصویر آپلود کند چند راه بیشتر ندارد که یکی این هست که شما گفتید بیاد تغییر بده به php و یا perl و یا.... که خوب باید دسترسی به سرور داشته باشه که دیگه از مدیریت محتوا خارج است کسی هم که دسترسی داشته باشه هیجی دیگه ...(روش قدیمی live header از بین رفته و همش حرف هست )

راه بعدی آپلود از طریق پنل هست که بیشترین احتمال میشه داد که به صورت php مستقیم قابل آپلود شدن است که انشالله بستید با آموزش ها

فیلتر Mr.programers هم استفاده کنید احتمال بسیار کم میشه فقط امنیت سرور میمونه و یا بکدور هایی که گذاشته

فقط دقت کنید نسخه 4 هم خودش باگ داشته و 4.0.1 به بعد مشکلات برطرف شد

example :


<Directory full-path-to/USERS>
<FilesMatch "(?i)\.(php|php3?|phtml)$">
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>

ویرایش شده در توسط Black_sky
1

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری