Для вебмастера » DLE - DataLife Engine → Защита DLE от заливки шелла

Добавил Admin | 6-03-2011, 11:51 | Мнений: 0 | Заглянули 2376

Для начало нам нужно запретить работу php в тех папках в которые по умолчанию возможно залить файлы, картинки, видео, музыку и.т.д А именно папки uploads и templates в них нужно добавить файл .htacces с прописанным параметром.

<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
Order allow,deny
Deny from all
</FilesMatch>

Вот и всё теперь шел залить нельзя!

Но если им удастся получить доступ к вашей админ панели, и они попытается разрешить заливку php скриптов.
Для подстраховки можно сделать так.
Открыть: engine/inc/files.php и найти там

$allowed_extensions = array ("gif", "jpg", "png", "jpe", "jpeg" );
$allowed_video = array ("avi", "mp4", "wmv", "mpg", "flv", "mp3", "swf", "m4v", "m4a", "mov", "3gp", "f4v" );
$allowed_files = explode( ',', strtolower( $config['files_type'] ) );
$img_result_th = "";
$img_result = "";

Найденное заменяем на:

$allowed_extensions = array ("gif", "jpg", "png", "jpe", "jpeg" );
$allowed_video = array ("avi", "mp4", "wmv", "mpg", "flv", "mp3", "swf", "m4v", "m4a", "mov", "3gp", "f4v" );
$allow_conf = str_replace("php",md5(time() - rand(30,60)),strtolower( $config['files_type'] ));
$allowed_files = explode( ',', $allow_conf );
$img_result_th = "";
$img_result = "";

После этого вы очень сильно усложните заливку шелла на сайт, и сможете наконец спать спокойно!

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Похожие новости:

Перевод в периодическую дробь

Предотвращение заливки shell-а

Кнопка "Похожие новости" для 9.2

Регистрация в определенное время для DLE

Защита DLE сайта от взлома