beh9am 96 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 سلامچجوری میشه کاری کرد که فایل های php در شاخه های آپلود عکس مثل wp-content/uploads اصلا اجرا نشنچون در این قسمت مشاهده شده که کاربران شل آپلود میکنن و در سایت خرابکاری میکنن نقل قول لینک به ارسال
bestdata 830 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 هم میتونید از اپلود فایل php جلوگیری کنیدهم میتونید از اجرای فایل php در پوشه مورد نظر جلو گیری کنیدبرای جلو گیری از اجرای فایل php در .htaccess کد زیر را قرار دهید و دسترسی به فایل های php و منع کنید<FilesMatch \.php$> SetHandler None</FilesMatch>اما اینم بگم اینم قابل دور زدن هست بهتره تمامی اسکریپت های سمت سرور رو غیر فعال کنید ... بازم هم قابل دور زدن هست .... 1 نقل قول لینک به ارسال
beh9am 96 ارسال شده در دی 93 مالک گزارش بازنشر ارسال شده در دی 93 هم میتونید از اپلود فایل php جلوگیری کنیدهم میتونید از اجرای فایل php در پوشه مورد نظر جلو گیری کنیدبرای جلو گیری از اجرای فایل php در .htaccess کد زیر را قرار دهید و دسترسی به فایل های php و منع کنید<FilesMatch \.php$>SetHandler None</FilesMatch>اما اینم بگم اینم قابل دور زدن هست بهتره تمامی اسکریپت های سمت سرور رو غیر فعال کنید ... بازم هم قابل دور زدن هست ....تشکرچجوری باید از آپلود فایل php جلوگیری کنم ؟پیشنهاد شما برای این مشکل بنده چیه ؟تشکر نقل قول لینک به ارسال
bestdata 830 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 میتونید کد بخش اپلود رو تغییر بدید یا افزونه ای نصب کنید که فایل رو قبل اپلود بررسی کنه اگه کد پی اچ پی یا سمت سرور بود اپلود نکنه ...پیشنهاد بنده اینه سایتتون رو به یه متخصص امنیت وردپرس بسپاریدیه راه دیگه هم اینه که کاری کنید فقط از طریق اف تی پی بشه اپلود کرد تا کسی هک کرد مشخصات اف تی پی نداشت نتونه اپلود کنه نقل قول لینک به ارسال
beh9am 96 ارسال شده در دی 93 مالک گزارش بازنشر ارسال شده در دی 93 میتونید کد بخش اپلود رو تغییر بدید یا افزونه ای نصب کنید که فایل رو قبل اپلود بررسی کنه اگه کد پی اچ پی یا سمت سرور بود اپلود نکنه ...پیشنهاد بنده اینه سایتتون رو به یه متخصص امنیت وردپرس بسپاریدیه راه دیگه هم اینه که کاری کنید فقط از طریق اف تی پی بشه اپلود کرد تا کسی هک کرد مشخصات اف تی پی نداشت نتونه اپلود کنهچجوری باید کد بخش آپلود را ویرایش کنم که بررسی بکنه ؟ببینید من در سایتم 24 تا نویسنده دارم که از داخل خود سایت میتونن پست بدن و مستقیم بدون تایید میره به سایتاینا همه چی هم میتونن آپلود بکنن قسمت انمتخاب عکس وقتی میزنن نوع فایل آپلودی رو all file زده که همه چی میشه آپلود کرد میخوام اونجا فقط بشه فرمت عکس اپلود بشهمتخصص امنیت وردپرس که میگید از کجا پیدا بکنم؟یک نفر را از انجمن آشیانه پیدا کردم بعد از مدتی گفتیم نمیخوایم پیشتیبانی کنید اما نگو بک دور گذاشته بود خودش هک میکرد میگفت بدید امنیت دست من باشه نقل قول لینک به ارسال
bestdata 830 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 وردپرس یه اسکریپت اپن سورسه از اسنادش جهت ویرایشش کمک بگیرید یا خودتون افزونه این بنویسید که محدودیت نوع فایل اپلودی بذاره شایدم روی اینترنت باشه از این افزونه هابنده نمیشناسم که معرفی کنم ولی یه هکر وردپرس متخصص امنیت خوبی نیست ... نقل قول لینک به ارسال
استاد اعظم 900 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 برای جلوگیری از آپلو فایل php کد زیر را در functions.php قالبتان بزارید :function my_myme_types($mime_types){unset($mime_types['php']);return $mime_types;}add_filter('upload_mimes', 'my_myme_types', 1, 1); 1 نقل قول لینک به ارسال
bestdata 830 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 برای جلوگیری از آپلو فایل php کد زیر را در functions.php قالبتان بزارید :function my_myme_types($mime_types){unset($mime_types['php']);return $mime_types;}add_filter('upload_mimes', 'my_myme_types', 1, 1);بنده تشکر میکنم از این دوست خوبم ولی خواستم بگم این حرکت قابل دور زدن هستمثلا کافیه فایل php5 یا perl یا حتی css jpg ذخیره شده باشه ... اما میشه درونشون کد سمت سرور باشه و اجرا بشه ... نیاز به فیلتر دقیقتر و کاملتری هست که یه متخصص تسلط داره 1 نقل قول لینک به ارسال
Black_Sky 6349 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 چجوری باید کد بخش آپلود را ویرایش کنم که بررسی بکنه ؟ببینید من در سایتم 24 تا نویسنده دارم که از داخل خود سایت میتونن پست بدن و مستقیم بدون تایید میره به سایتاینا همه چی هم میتونن آپلود بکنن قسمت انمتخاب عکس وقتی میزنن نوع فایل آپلودی رو all file زده که همه چی میشه آپلود کرد میخوام اونجا فقط بشه فرمت عکس اپلود بشهمتخصص امنیت وردپرس که میگید از کجا پیدا بکنم؟یک نفر را از انجمن آشیانه پیدا کردم بعد از مدتی گفتیم نمیخوایم پیشتیبانی کنید اما نگو بک دور گذاشته بود خودش هک میکرد میگفت بدید امنیت دست من باشهعجب ! بنده خودم یکی از مدیر های آشیانه هستم و این حرف شما درست نیست و یا اگر هم مسی باشه که رسمی و اعضای رسمی باشه میتونید اون از درجه منع کنید به هرحالبرای آپلود نشدن php درون فولدر آپلود میتونید از httacess درون همون فولدر و محدود کردن پسوند استفاده کنید که بارها قبلا توضیح داده شده است به همین سادگی هم نیست که بیاد تصویر آپلود کنه و اون به سورس تبدیل کنه اون برای قدیم بود و این روش تقریبا منقرض شده شما باید اول تمام راه های امنیتی که باعث آپلود میشن بگیرید و بعدش به سراغ گالری و اون مقدار پارامتر بدید و سطح دسترسی کمترین حالت کنید 1 نقل قول لینک به ارسال
beh9am 96 ارسال شده در دی 93 مالک گزارش بازنشر ارسال شده در دی 93 برای جلوگیری از آپلو فایل php کد زیر را در functions.php قالبتان بزارید :function my_myme_types($mime_types){unset($mime_types['php']);return $mime_types;}add_filter('upload_mimes', 'my_myme_types', 1, 1);بنده تشکر میکنم از این دوست خوبم ولی خواستم بگم این حرکت قابل دور زدن هستمثلا کافیه فایل php5 یا perl یا حتی css jpg ذخیره شده باشه ... اما میشه درونشون کد سمت سرور باشه و اجرا بشه ... نیاز به فیلتر دقیقتر و کاملتری هست که یه متخصص تسلط دارهتشکر دوستانالان راه چاره من چیه ؟با همین کد میشه امن شد ؟ نقل قول لینک به ارسال
Black_Sky 6349 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 تشکر دوستانالان راه چاره من چیه ؟با همین کد میشه امن شد ؟اصلا بالا خوندید ؟این شما فقط .htacess درون فولدر upload قرار بدید و محدودیت php و یا... قرار بدید همین پنل هم بررسی کنید و ببینید راهی برای آپلود هست یا خیر در غیر این صورت این حرف که Bypass میشه با تغییر پسوند یا .... درست نیست جز زمانی که هکر دسترسی به سرور و یا .... داشته باشد نقل قول لینک به ارسال
beh9am 96 ارسال شده در دی 93 مالک گزارش بازنشر ارسال شده در دی 93 عجب ! بنده خودم یکی از مدیر های آشیانه هستم و این حرف شما درست نیستو یا اگر هم مسی باشه که رسمی و اعضای رسمی باشه میتونید اون از درجه منع کنیدبه هرحالبرای آپلود نشدن php درون فولدر آپلود میتونید از httacess درون همون فولدر و محدود کردن پسوند استفاده کنید که بارها قبلا توضیح داده شده استبه همین سادگی هم نیست که بیاد تصویر آپلود کنه و اون به سورس تبدیل کنه اون برای قدیم بود و این روش تقریبا منقرض شدهشما باید اول تمام راه های امنیتی که باعث آپلود میشن بگیرید و بعدش به سراغ گالری و اون مقدار پارامتر بدید و سطح دسترسی کمترین حالت کنیداین که شما مدیر یه بخشی هستید دلیل نمیشه به من تهمت بزنید که دروغ میگمبا شما هم آشنا هستم بیشتر تو بخش وردپرس فعالین در آشیانهحتی خود آقای بهروز هم همین کارو میکنن و بنده دلیل و مدرک دارمنمیدونم چرا اینطوریه که وقتی میدی سرور را امن بکنن هزارتا راه نفوز برای خودشون میزارن که بعدا خرابکاری بکنن و دوباره بری پول بدی بهشونخوب نیست شما هم ندونسته روی کاری پنهون کاری کنیداصلا بالا خوندید ؟این شما فقط .htacess درون فولدر upload قرار بدید و محدودیت php و یا... قرار بدیدهمین پنل هم بررسی کنید و ببینید راهی برای آپلود هست یا خیردر غیر این صورت این حرف که Bypass میشه با تغییر پسوند یا .... درست نیست جز زمانی که هکر دسترسی به سرور و یا .... داشته باشددوست عزیز چرا بابنده دعوا دارید ؟این کارو خود مدیر سرور کرده بود اما هکر از قسمت اپلود فایلی به اسم c99.php.gif آپلود کرده بود با همون فایل دسترسی پیدا کرده بود نقل قول لینک به ارسال
Black_Sky 6349 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 شما اول بخونید متوجه میشید که بنده چی گفتم و یا اگر هم مسی باشه که رسمی و اعضای رسمی باشه میتونید اون از درجه منع کنید بنده گفتم میتونید پیگیر این مسئله باشید که یکی از مدیرها و یا اعضا رسمی مرتکب این کار شده است باید تاوان و یا خسارت شما بدهد شما بخونید بعد تصمیم بگیریدبا شما هم آشنا هستم بیشتر تو بخش وردپرس فعالین در آشیانهفکر میکنم بهتر باشه به بخش امنیت و تست نفوذ پذیری هم سری بزنید مخصوصا ایمن سازی مدیریت های محتوا و یا.... حتی خود آقای بهروز هم همین کارو میکنن و بنده دلیل و مدرک دارمنمیدونم چرا اینطوریه که وقتی میدی سرور را امن بکنن هزارتا راه نفوز برای خودشون میزارن که بعدا خرابکاری بکنن و دوباره بری پول بدی بهشونهر کسی عقیده هایی داره که قابل احترام هست مثل شما اما فکر نمیکنم اشخاص معتبر بیان و اعتبار خودشون با قرار دادن بک دور زیر سوال ببرنهیچ امنیت کامل وحود ندارد و اگر شما مدارکی برای اثبات دارید میتونید شکایت کنید و از شرکت ایشون خسارت های وارده بگیرید--------------موفق باشید نقل قول لینک به ارسال
beh9am 96 ارسال شده در دی 93 مالک گزارش بازنشر ارسال شده در دی 93 شما اول بخونید متوجه میشید که بنده چی گفتم بنده گفتم میتونید پیگیر این مسئله باشید که یکی از مدیرها و یا اعضا رسمی مرتکب این کار شده است باید تاوان و یا خسارت شما بدهد شما بخونید بعد تصمیم بگیریدفکر میکنم بهتر باشه به بخش امنیت و تست نفوذ پذیری هم سری بزنید مخصوصا ایمن سازی مدیریت های محتوا و یا.... هر کسی عقیده هایی داره که قابل احترام هست مثل شما اما فکر نمیکنم اشخاص معتبر بیان و اعتبار خودشون با قرار دادن بک دور زیر سوال ببرنهیچ امنیت کامل وحود ندارد و اگر شما مدارکی برای اثبات دارید میتونید شکایت کنید و از شرکت ایشون خسارت های وارده بگیرید--------------موفق باشیدبله در اونجا هم تاپیک زدم ولی همش پاک میکنن یوزر اصلیم رو هم آقای بهروز به خاطر مشکلات شکایت و ... حذف کردناشتباه همینجاست که فکر میکنیم کسی که اعتبار داره همچین کارینمیکنهبنده شکایت کردم و حتی خسارت هم از ایشون گرفتم نقل قول لینک به ارسال
Black_Sky 6349 ارسال شده در دی 93 گزارش بازنشر ارسال شده در دی 93 (ویرایش شده) به هرحالدر عنوان گفتید که میخواهید php آپلود نشود که خب شلر با ... باشدبه صورت پیشفرض آپلود نمیشه اما اگر هم به هر طریقی بشه با محدودیت پسوند درون htacess فولدر upload مانع از اجرا میشیداگر هم شل به صورت تصویر آپلود کند چند راه بیشتر ندارد که یکی این هست که شما گفتید بیاد تغییر بده به php و یا perl و یا.... که خوب باید دسترسی به سرور داشته باشه که دیگه از مدیریت محتوا خارج است کسی هم که دسترسی داشته باشه هیجی دیگه ...(روش قدیمی live header از بین رفته و همش حرف هست )راه بعدی آپلود از طریق پنل هست که بیشترین احتمال میشه داد که به صورت php مستقیم قابل آپلود شدن است که انشالله بستید با آموزش هافیلتر Mr.programers هم استفاده کنید احتمال بسیار کم میشه فقط امنیت سرور میمونه و یا بکدور هایی که گذاشتهفقط دقت کنید نسخه 4 هم خودش باگ داشته و 4.0.1 به بعد مشکلات برطرف شدexample :<Directory full-path-to/USERS> <FilesMatch "(?i)\.(php|php3?|phtml)$"> Order Deny,Allow Deny from All </FilesMatch></Directory> ویرایش شده دی 93 توسط Black_sky 1 نقل قول لینک به ارسال
پست های پیشنهاد شده
به گفتگو بپیوندید
هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .