Me piratearon mi osCommerce hace unos momentos y los imbéciles lo están usando para enviar correos electrónicos. He identificado que colocaron scripts dentro del directorio de imágenes de osCommerce.
¿Hay alguna manera de prohibir que ciertos directorios, como los que contienen imágenes, ejecuten scripts usando .htaccess o algo así?
Usando simplemente
<Files *.*>
order allow,deny
deny from all
</Files>
en .htaccess no es bueno porque las imágenes no aparecerán en el sitio.
¿Qué puedo hacer más allá de aplicar todos los parches de osCommerce para hacerlo más fuerte?
Respuesta1
Creo que puedes colocar esto en un .htaccess donde no quieras permitir que se ejecuten scripts:
<Files *.*>
Options -ExecCGI
</Files>
Si sabe que todos los archivos "malos" tienen un nombre determinado, también puede desactivar su asociación a un controlador determinado con esto:
<Files *.*>
RemoveHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
</Files>
También puedes cerrar completamente ciertos archivos con nombre con este desde un directorio de nivel superior:
<Directory full-path-to/dir>
<FilesMatch "\.(php?|pl|perl)$">
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>
O puede bloquearlo según la URL real utilizada para acceder a él:
<LocationMatch "/URL/TO/FILES/.*\.(php?|pl|perl)$">
Order Deny,Allow
Deny from All
</LocationMatch>