رفتن به مطلب

جلوگیری از اجرای php در شاخه های آپلود


پست های پیشنهاد شده

سلام

چجوری میشه کاری کرد که فایل های php در شاخه های آپلود عکس مثل wp-content/uploads اصلا اجرا نشن

چون در این قسمت مشاهده شده که کاربران شل آپلود میکنن و در سایت خرابکاری میکنن

لینک به ارسال

هم میتونید از اپلود فایل php جلوگیری کنید

هم میتونید از اجرای فایل php در پوشه مورد نظر جلو گیری کنید

برای جلو گیری از اجرای فایل php در .htaccess کد زیر را قرار دهید و دسترسی به فایل های php و منع کنید


<FilesMatch \.php$>
SetHandler None
</FilesMatch>

اما اینم بگم اینم قابل دور زدن هست بهتره تمامی اسکریپت های سمت سرور رو غیر فعال کنید ... بازم هم قابل دور زدن هست ....

لینک به ارسال

هم میتونید از اپلود فایل php جلوگیری کنید

هم میتونید از اجرای فایل php در پوشه مورد نظر جلو گیری کنید

برای جلو گیری از اجرای فایل php در .htaccess کد زیر را قرار دهید و دسترسی به فایل های php و منع کنید


<FilesMatch \.php$>
SetHandler None
</FilesMatch>

اما اینم بگم اینم قابل دور زدن هست بهتره تمامی اسکریپت های سمت سرور رو غیر فعال کنید ... بازم هم قابل دور زدن هست ....

تشکر

چجوری باید از آپلود فایل php جلوگیری کنم ؟

پیشنهاد شما برای این مشکل بنده چیه ؟

تشکر

لینک به ارسال

میتونید کد بخش اپلود رو تغییر بدید یا افزونه ای نصب کنید که فایل رو قبل اپلود بررسی کنه اگه کد پی اچ پی یا سمت سرور بود اپلود نکنه ...

پیشنهاد بنده اینه سایتتون رو به یه متخصص امنیت وردپرس بسپارید

یه راه دیگه هم اینه که کاری کنید فقط از طریق اف تی پی بشه اپلود کرد تا کسی هک کرد مشخصات اف تی پی نداشت نتونه اپلود کنه

لینک به ارسال

میتونید کد بخش اپلود رو تغییر بدید یا افزونه ای نصب کنید که فایل رو قبل اپلود بررسی کنه اگه کد پی اچ پی یا سمت سرور بود اپلود نکنه ...

پیشنهاد بنده اینه سایتتون رو به یه متخصص امنیت وردپرس بسپارید

یه راه دیگه هم اینه که کاری کنید فقط از طریق اف تی پی بشه اپلود کرد تا کسی هک کرد مشخصات اف تی پی نداشت نتونه اپلود کنه

چجوری باید کد بخش آپلود را ویرایش کنم که بررسی بکنه ؟

ببینید من در سایتم 24 تا نویسنده دارم که از داخل خود سایت میتونن پست بدن و مستقیم بدون تایید میره به سایت

اینا همه چی هم میتونن آپلود بکنن قسمت انمتخاب عکس وقتی میزنن نوع فایل آپلودی رو all file زده که همه چی میشه آپلود کرد میخوام اونجا فقط بشه فرمت عکس اپلود بشه

متخصص امنیت وردپرس که میگید از کجا پیدا بکنم؟

یک نفر را از انجمن آشیانه پیدا کردم بعد از مدتی گفتیم نمیخوایم پیشتیبانی کنید اما نگو بک دور گذاشته بود خودش هک میکرد میگفت بدید امنیت دست من باشه

لینک به ارسال

وردپرس یه اسکریپت اپن سورسه از اسنادش جهت ویرایشش کمک بگیرید یا خودتون افزونه این بنویسید که محدودیت نوع فایل اپلودی بذاره شایدم روی اینترنت باشه از این افزونه ها

بنده نمیشناسم که معرفی کنم ولی یه هکر وردپرس متخصص امنیت خوبی نیست ...

لینک به ارسال

برای جلوگیری از آپلو فایل php کد زیر را در functions.php قالبتان بزارید :


function my_myme_types($mime_types){
unset($mime_types['php']);
return $mime_types;
}
add_filter('upload_mimes', 'my_myme_types', 1, 1);

لینک به ارسال

برای جلوگیری از آپلو فایل php کد زیر را در functions.php قالبتان بزارید :


function my_myme_types($mime_types){
unset($mime_types['php']);
return $mime_types;
}
add_filter('upload_mimes', 'my_myme_types', 1, 1);

بنده تشکر میکنم از این دوست خوبم ولی خواستم بگم این حرکت قابل دور زدن هست

مثلا کافیه فایل php5 یا perl یا حتی css jpg ذخیره شده باشه ... اما میشه درونشون کد سمت سرور باشه و اجرا بشه ... نیاز به فیلتر دقیقتر و کاملتری هست که یه متخصص تسلط داره

لینک به ارسال

چجوری باید کد بخش آپلود را ویرایش کنم که بررسی بکنه ؟

ببینید من در سایتم 24 تا نویسنده دارم که از داخل خود سایت میتونن پست بدن و مستقیم بدون تایید میره به سایت

اینا همه چی هم میتونن آپلود بکنن قسمت انمتخاب عکس وقتی میزنن نوع فایل آپلودی رو all file زده که همه چی میشه آپلود کرد میخوام اونجا فقط بشه فرمت عکس اپلود بشه

متخصص امنیت وردپرس که میگید از کجا پیدا بکنم؟

یک نفر را از انجمن آشیانه پیدا کردم بعد از مدتی گفتیم نمیخوایم پیشتیبانی کنید اما نگو بک دور گذاشته بود خودش هک میکرد میگفت بدید امنیت دست من باشه

عجب ! بنده خودم یکی از مدیر های آشیانه هستم و این حرف شما درست نیست

و یا اگر هم مسی باشه که رسمی و اعضای رسمی باشه میتونید اون از درجه منع کنید

به هرحال

برای آپلود نشدن php درون فولدر آپلود میتونید از httacess درون همون فولدر و محدود کردن پسوند استفاده کنید که بارها قبلا توضیح داده شده است

به همین سادگی هم نیست که بیاد تصویر آپلود کنه و اون به سورس تبدیل کنه اون برای قدیم بود و این روش تقریبا منقرض شده

شما باید اول تمام راه های امنیتی که باعث آپلود میشن بگیرید و بعدش به سراغ گالری و اون مقدار پارامتر بدید و سطح دسترسی کمترین حالت کنید

لینک به ارسال

برای جلوگیری از آپلو فایل php کد زیر را در functions.php قالبتان بزارید :


function my_myme_types($mime_types){
unset($mime_types['php']);
return $mime_types;
}
add_filter('upload_mimes', 'my_myme_types', 1, 1);

بنده تشکر میکنم از این دوست خوبم ولی خواستم بگم این حرکت قابل دور زدن هست

مثلا کافیه فایل php5 یا perl یا حتی css jpg ذخیره شده باشه ... اما میشه درونشون کد سمت سرور باشه و اجرا بشه ... نیاز به فیلتر دقیقتر و کاملتری هست که یه متخصص تسلط داره

تشکر دوستان

الان راه چاره من چیه ؟

با همین کد میشه امن شد ؟

لینک به ارسال

تشکر دوستان

الان راه چاره من چیه ؟

با همین کد میشه امن شد ؟

اصلا بالا خوندید ؟

این شما فقط .htacess درون فولدر upload قرار بدید و محدودیت php و یا... قرار بدید

همین پنل هم بررسی کنید و ببینید راهی برای آپلود هست یا خیر

در غیر این صورت این حرف که Bypass میشه با تغییر پسوند یا .... درست نیست جز زمانی که هکر دسترسی به سرور و یا .... داشته باشد

لینک به ارسال

عجب ! بنده خودم یکی از مدیر های آشیانه هستم و این حرف شما درست نیست

و یا اگر هم مسی باشه که رسمی و اعضای رسمی باشه میتونید اون از درجه منع کنید

به هرحال

برای آپلود نشدن php درون فولدر آپلود میتونید از httacess درون همون فولدر و محدود کردن پسوند استفاده کنید که بارها قبلا توضیح داده شده است

به همین سادگی هم نیست که بیاد تصویر آپلود کنه و اون به سورس تبدیل کنه اون برای قدیم بود و این روش تقریبا منقرض شده

شما باید اول تمام راه های امنیتی که باعث آپلود میشن بگیرید و بعدش به سراغ گالری و اون مقدار پارامتر بدید و سطح دسترسی کمترین حالت کنید

این که شما مدیر یه بخشی هستید دلیل نمیشه به من تهمت بزنید که دروغ میگم

با شما هم آشنا هستم بیشتر تو بخش وردپرس فعالین در آشیانه

حتی خود آقای بهروز هم همین کارو میکنن و بنده دلیل و مدرک دارم

نمیدونم چرا اینطوریه که وقتی میدی سرور را امن بکنن هزارتا راه نفوز برای خودشون میزارن که بعدا خرابکاری بکنن و دوباره بری پول بدی بهشون

خوب نیست شما هم ندونسته روی کاری پنهون کاری کنید

اصلا بالا خوندید ؟

این شما فقط .htacess درون فولدر upload قرار بدید و محدودیت php و یا... قرار بدید

همین پنل هم بررسی کنید و ببینید راهی برای آپلود هست یا خیر

در غیر این صورت این حرف که Bypass میشه با تغییر پسوند یا .... درست نیست جز زمانی که هکر دسترسی به سرور و یا .... داشته باشد

دوست عزیز چرا بابنده دعوا دارید ؟

این کارو خود مدیر سرور کرده بود اما هکر از قسمت اپلود فایلی به اسم c99.php.gif آپلود کرده بود با همون فایل دسترسی پیدا کرده بود

لینک به ارسال

شما اول بخونید متوجه میشید که بنده چی گفتم

و یا اگر هم مسی باشه که رسمی و اعضای رسمی باشه میتونید اون از درجه منع کنید

بنده گفتم میتونید پیگیر این مسئله باشید که یکی از مدیرها و یا اعضا رسمی مرتکب این کار شده است باید تاوان و یا خسارت شما بدهد شما بخونید بعد تصمیم بگیرید

با شما هم آشنا هستم بیشتر تو بخش وردپرس فعالین در آشیانه

فکر میکنم بهتر باشه به بخش امنیت و تست نفوذ پذیری هم سری بزنید مخصوصا ایمن سازی مدیریت های محتوا و یا.... :)

حتی خود آقای بهروز هم همین کارو میکنن و بنده دلیل و مدرک دارم

نمیدونم چرا اینطوریه که وقتی میدی سرور را امن بکنن هزارتا راه نفوز برای خودشون میزارن که بعدا خرابکاری بکنن و دوباره بری پول بدی بهشون

هر کسی عقیده هایی داره که قابل احترام هست مثل شما اما فکر نمیکنم اشخاص معتبر بیان و اعتبار خودشون با قرار دادن بک دور زیر سوال ببرن

هیچ امنیت کامل وحود ندارد و اگر شما مدارکی برای اثبات دارید میتونید شکایت کنید و از شرکت ایشون خسارت های وارده بگیرید

--------------

موفق باشید

لینک به ارسال

شما اول بخونید متوجه میشید که بنده چی گفتم

بنده گفتم میتونید پیگیر این مسئله باشید که یکی از مدیرها و یا اعضا رسمی مرتکب این کار شده است باید تاوان و یا خسارت شما بدهد شما بخونید بعد تصمیم بگیرید

فکر میکنم بهتر باشه به بخش امنیت و تست نفوذ پذیری هم سری بزنید مخصوصا ایمن سازی مدیریت های محتوا و یا.... :)

هر کسی عقیده هایی داره که قابل احترام هست مثل شما اما فکر نمیکنم اشخاص معتبر بیان و اعتبار خودشون با قرار دادن بک دور زیر سوال ببرن

هیچ امنیت کامل وحود ندارد و اگر شما مدارکی برای اثبات دارید میتونید شکایت کنید و از شرکت ایشون خسارت های وارده بگیرید

--------------

موفق باشید

بله در اونجا هم تاپیک زدم ولی همش پاک میکنن یوزر اصلیم رو هم آقای بهروز به خاطر مشکلات شکایت و ... حذف کردن

اشتباه همینجاست که فکر میکنیم کسی که اعتبار داره همچین کارینمیکنه

بنده شکایت کردم و حتی خسارت هم از ایشون گرفتم

لینک به ارسال

به هرحال

در عنوان گفتید که میخواهید php آپلود نشود که خب شلر با ... باشد

به صورت پیشفرض آپلود نمیشه اما اگر هم به هر طریقی بشه با محدودیت پسوند درون htacess فولدر upload مانع از اجرا میشید

اگر هم شل به صورت تصویر آپلود کند چند راه بیشتر ندارد که یکی این هست که شما گفتید بیاد تغییر بده به php و یا perl و یا.... که خوب باید دسترسی به سرور داشته باشه که دیگه از مدیریت محتوا خارج است کسی هم که دسترسی داشته باشه هیجی دیگه ...(روش قدیمی live header از بین رفته و همش حرف هست )

راه بعدی آپلود از طریق پنل هست که بیشترین احتمال میشه داد که به صورت php مستقیم قابل آپلود شدن است که انشالله بستید با آموزش ها

فیلتر Mr.programers هم استفاده کنید احتمال بسیار کم میشه فقط امنیت سرور میمونه و یا بکدور هایی که گذاشته

فقط دقت کنید نسخه 4 هم خودش باگ داشته و 4.0.1 به بعد مشکلات برطرف شد

example :


<Directory full-path-to/USERS>
<FilesMatch "(?i)\.(php|php3?|phtml)$">
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>

ویرایش شده توسط Black_sky
لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...