我的任務是維護一個 LAMP Web 伺服器,該伺服器已經被一些從未聽說過 SQL 注入、CSRF 或類似主題的 PHP 程式設計師所利用。有幾個全域可寫入的目錄,這些 PHP 腳本應該用於上傳映像。當然,它們也可用於上傳 PHP 腳本,例如 Web shell。
是否有一個 Apache 模組或指令可以關閉 PHP 引擎遇到的任何可由 apache 寫入的目錄?
safe_mode,雖然是醜陋的駭客,但已在相關網站上啟用。但除此之外,我拒絕承擔審核或修改這些殘暴 PHP 腳本本身的任何一行的責任。
答案1
最簡單的方法就是php_flag engine off在該目錄中放入 .htaccess 檔案。 「engine」指令僅在 php 4.0.5 或更高版本中支援。
您也可以嘗試使用 .htaccess (例如)刪除 apache 中的處理程序RemoveHandler .php,但我會先嘗試另一個。刪除處理程序是「強制其破壞」的方法之一,有時會適得其反。