Несколько минут назад мой osCommerce взломали, и эти идиоты используют его для отправки писем. Я определил, что они поместили скрипты в каталог изображений osCommerce.
Есть ли способ запретить определенным каталогам, например, содержащим изображения, запускать скрипты с помощью .htaccess или чего-то подобного?
Используя просто
<Files *.*>
order allow,deny
deny from all
</Files>
в .htaccess не годится, так как изображения не будут отображаться на сайте.
Что я могу сделать, помимо применения всех исправлений osCommerce, чтобы сделать его более мощным?
решение1
Я считаю, что вы можете вставить это в .htaccess, где бы вы ни хотели запретить выполнение скриптов:
<Files *.*>
Options -ExecCGI
</Files>
Если вы знаете, что все «плохие» файлы имеют определенные имена, вы также можете отключить их привязку к определенному обработчику с помощью этого:
<Files *.*>
RemoveHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
</Files>
Вы также можете полностью закрыть определенные именованные файлы с помощью этой команды из каталога верхнего уровня:
<Directory full-path-to/dir>
<FilesMatch "\.(php?|pl|perl)$">
Order Deny,Allow
Deny from All
</FilesMatch>
</Directory>
Или вы можете заблокировать его на основе фактического URL-адреса, используемого для доступа к нему:
<LocationMatch "/URL/TO/FILES/.*\.(php?|pl|perl)$">
Order Deny,Allow
Deny from All
</LocationMatch>