Meu osCommerce foi hackeado há alguns momentos e os idiotas estão usando-o para enviar e-mails. Identifiquei que eles colocaram scripts dentro do diretório de imagens do osCommerce.
Existe uma maneira de proibir certos diretórios, como aqueles que contêm imagens, de executar scripts usando .htaccess ou algo assim?
Usando simplesmente
<Files *.*>
order allow,deny
deny from all
</Files>
em .htaccess não é bom porque as imagens não aparecerão no site.
O que posso fazer além de aplicar todos os patches do osCommerce para torná-lo mais forte?
Responder1
Eu acredito que você pode colocar isso em um .htaccess onde quer que você não queira permitir a execução de scripts:
<Files *.*>
Options -ExecCGI
</Files>
Se você sabe que todos os arquivos "ruins" são nomeados de uma determinada maneira, você também pode desabilitar sua associação a um determinado manipulador com isto:
<Files *.*>
RemoveHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
</Files>
Você também pode desligar completamente certos arquivos nomeados com este em um diretório de nível superior:
<Directory full-path-to/dir>
<FilesMatch "\.(php?|pl|perl)$">
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>
Ou você pode bloqueá-lo com base no URL real usado para acessá-lo:
<LocationMatch "/URL/TO/FILES/.*\.(php?|pl|perl)$">
Order Deny,Allow
Deny from All
</LocationMatch>