Современный облачный хостинг провайдер | Aéza
Контакты ООО "АЕЗА ГРУПП" ИНН 2312304914 ОГРН 1212300056430

XF 2.3 Защита папки avatars через .htaccess с директивами RemoveHandler - 500 Internal Server Error

Версия XenForo
2.3.6
nond

nond

Проверенные
Сообщения
294
Реакции
122
Баллы
8,145
Некоторое наблюдение, о котором почему-то никто не писал:

  • Защищаемся от залива шелл:
Достаточно часто заливают шелл в папку с аватарами. поэтому в папку Avatars и во все ее внутренние папки заливаем файл .htaccess с таким содержанием:
Нажмите для раскрытия...

PHP: 
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml

<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.shtml">
    Order allow,deny
    Deny from all
</Files>

Так вот, мои тесты после размещения такого .htaccess в папке /data/avatars и любой вложенной папке - влечёт ошибки
Код: 
https://mysite.ru/data/avatars/s/0/4.jpg?1743836908
500 Internal Server Error

При удалении .htaccess сервер начинает отдавать аватарки без ошибок.

Что не так с борьбой по защите папки /data/avatars ?
Какие будут предложения у более опытных пользователей?
 
Сортировка по дате Сортировка по голосам
А как на счет такого .htaccess для /data/avatars?

PHP: 
Options -Indexes
php_flag engine  off
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
    Order allow,deny
    Deny from all
</FilesMatch>

Проверил.
Директива .htaccess в папке /data/avatars
php_flag engine off
Вызывает ошибку 500 и не даёт Nginx отдавать аватарки

Аналогично эта секция, также приводит к ошибке сервера HTTP 500 и не отдаёт аватарки
PHP: 
<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
Order allow,deny
Deny from all
</FilesMatch>

т.е. да, он работает, гасит запуск .php, но одновременно создаёт нам же проблемы
 
Последнее редактирование:
Позитивный голос 0 Негативный голос
nond, может просто не заниматься этим рукоблудством? от чего вы защищаетесь?
штатным путем в папки с аватарами никак не может попасть php-файл
если у вас каким-то способом это получится осуществить, то лечить нужно причину, а не симптом
 
Позитивный голос 0 Негативный голос
West14 написал(а):
nond, может просто не заниматься этим рукоблудством? от чего вы защищаетесь?
штатным путем в папки с аватарами никак не может попасть php-файл
если у вас каким-то способом это получится осуществить, то лечить нужно причину, а не симптом
Нажмите для раскрытия...
Принято.
 
Позитивный голос 0 Негативный голос
Войдите или зарегистрируйтесь для ответа.
Современный облачный хостинг провайдер | Aéza
Контакты
ООО "АЕЗА ГРУПП" ИНН 2312304914 ОГРН 1212300056430 г. Краснодар, ул. Маяковского 160, офис 2.4

Похожие темы

J
  • Вопрос
Запретить выполнение php в директории
Ответы
3
Просмотры
777
john_j
J
DreamTails
  • Вопрос
Проблемы при загрузке больших файлов
2
Ответы
39
Просмотры
2K
john_j
J
W
  • Закрыта
  • Вопрос
XF 1.5 Ошибка 500 Internal Server Error на первом этапе установки форума
Ответы
8
Просмотры
1K
anthem
anthem
Homer Jay Simpson
  • Закрыта
  • Закреплено
Переименовываем и защищаем admin.php
2 3 4
Ответы
76
Просмотры
18K
Mirovinger
M
J
  • Закрыта
  • Закреплено
Защищаем форум XenForo от различного рода атак
Ответы
1
Просмотры
8K
X-Xen
X-Xen
Назад
Сверху Снизу