Защита dle от запуска шеллов

0
Защита dle от запуска шеллов

Эта не очень большая статья посвящена основным мерам, способствующим повышению безопасности движка dle. Самая опасная угроза для сайта на dle таится в запущенных на сервере шеллах. Шелл — скрипт, написанный на php, способный выполнять изменения в имеющихся на сервере файлах, с выставленными правами, позволяющими записывать, читать и удалять — 777. Также шелл может получить доступ к базе mysql и содержимому файлов конфигурации движка dle. Шелл может проникнуть на сайт, базирующийся на dle при помощи сторонних дополнений и модулей, установленных в движке, хотя не исключена вероятность проникновения шеллов на сайт в случае уязвимости софта, на котором работает сервер.

Отличительной особенностью при попадании шелла на сайт является тот факт, что функционировать шелл может только в той папке, выставленные права на которую разрешают запись, в большинстве случаев это папки «templates» и «uploads» и все другие папки, вложенные в них. Установленные на данные папки права по умолчанию разрешают как чтение, так и запись, что не удивительно, ведь именно в эти папки администратор чаще всего закачивает видеофайлы, архивы и изображения, а также хранит и редактирует в них dle шаблоны своего сайта. Вот как раз эти папки можно и нужно защищать от проникновения злоумышленников. Самая простая превентивная мера защиты от шеллов это запретить исполнять скрипты php в выше обозначенных папках. Для этого достаточно в указанных папках поместить в файле .htaccess строчку: php_flag engine off , которая запрещает выполнение php скриптов, находящихся не только в данной папке, но и во вложенных папках тоже. Эта не хитрая функция защитит ваш сайт от шеллов, если они даже будут закачаны на сервер. В случае, если ваш хостер не поддерживает эту без сомнения полезную функцию, воспользуйтесь таким решением : создайте такой файл .htaccess:
Защита dle от запуска шеллов
и залейте его в те же самые папки. Это запретит обращаться к файлам php напрямую. Вроде бы ничего сложного, а польза очевидна. Пользуйтесь во благо ваших сайтов и да не коснется их длань вездесущих хакеров.

LEAVE A REPLY