Mein osCommerce wurde vor kurzem gehackt und die Idioten verwenden es, um E-Mails zu versenden. Ich habe festgestellt, dass sie Skripte im osCommerce-Bilderverzeichnis abgelegt haben.
Gibt es eine Möglichkeit, bestimmten Verzeichnissen, z. B. denen mit Bildern, das Ausführen von Skripten mithilfe von .htaccess oder Ähnlichem zu verbieten?
Mit einfach
<Files *.*>
order allow,deny
deny from all
</Files>
auf .htaccess ist nicht gut, da Bilder nicht auf der Site angezeigt werden.
Was kann ich außer dem Anwenden aller osCommerce-Patches tun, um es stärker zu machen?
Antwort1
Ich glaube, Sie können dies überall dort in eine .htaccess-Datei einfügen, wo Sie die Ausführung von Skripts nicht zulassen möchten:
<Files *.*>
Options -ExecCGI
</Files>
Wenn Sie wissen, dass alle „schlechten“ Dateien auf eine bestimmte Weise benannt sind, können Sie ihre Zuordnung zu einem bestimmten Handler auch folgendermaßen deaktivieren:
<Files *.*>
RemoveHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
</Files>
Sie können bestimmte benannte Dateien auch mit diesem Befehl aus einem Verzeichnis der obersten Ebene vollständig herunterfahren:
<Directory full-path-to/dir>
<FilesMatch "\.(php?|pl|perl)$">
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>
Oder Sie können es basierend auf der tatsächlichen URL sperren, die zum Aufrufen verwendet wurde:
<LocationMatch "/URL/TO/FILES/.*\.(php?|pl|perl)$">
Order Deny,Allow
Deny from All
</LocationMatch>