Найден способ борьбы с хакерскими атаками на е107

Найден способ борьбы с хакерскими атаками и загрузки исполняемых файлов на сайт под управлением е107

По заявлению Фанатика на e107.org :

Как я уже говорил, есть простой способ избежать загрузки файла-атаки (если вы используете Linux-хостинг, конечно)

1 - run php (in case of using php-cgi) or apache (in case of using php as mode) under user user1
2 - set owner of all executive core files (*.php, *.sc, *.bb and so on) to user user2 and set permissions 644
3 - set 755 to all dirs
4 - set owner user2 to all dirs
5 - set owner user1 to dirs like /e107_files/public/avatars and so on (to allow php write in this cats)
6 - write in apache's config rules to deny execute php-files for cats like /e107_files/public/avatars
В Енджин икс^ака^Nginx это правило выглядит так:
rewrite ^\/e107_files\/public\/(.*)\.php /null.php last;

(null.php - пустой файл)

В случае если вы используете другой интерпретатор на своем сервере типа PERL или иное, напишите более сложное правило такого вида:

rewrite ^\/e107_files\/public\/(.*)\.(php|pl|...) /fuck_you_evil_hackers.txt last;


При соблюдении данных инструкций никто и никогда не сможет больше закачать исполняемый файл к вам на сервер и тем более изменить файлы ядра.

{TAGS}




Вас также может заинтересовать:

Найден способ обхода методов защиты от DoS-уязвимости в HTTP-сервере Apache
Google ужесточает методы борьбы с поисковым спамом
15.06.2010 Внутренние способы борьбы со спамом CommuniGate Pro на GNU/Gentoo Linux
Найди способ выйти из комнаты [флеш головоломка]
За последние пару дней много e107-сайтов (в том числе e107.org) были под под атаками хакеров
Представлен способ взлома MS-CHAPv2, по трудоёмкости идентичный подбору DES