Помощь Такая защита в htaccess от шела ещё актуальна для 9.x?

[bork75]

Собственно код:
<FilesMatch ".(php|php3|php4|php5|php6|phtml|phps)$|^$">
Order allow,deny
Deny from all
</FilesMatch>

Запрет на исполнения php скриптов.

В самой 9 просто написано
Order allow,deny
Deny from all

 

[E-body]

Если почитать хоть раз офф сайт, многое полезного можно почерпнуть как хозяину dle сайта

Дорогие друзья,

в этой небольшой статье мы хотим рассказать вам о том как, как вам можно повысить безопасность вашего сайта. Как известно наибольшую угрозу для сайта представляют собой залитые злоумышленником на сервер PHP шеллы. Что это такое? Это PHP скрипты которые могут выполняться на вашем сервере, соответственно производить какие-либо изменения в файлах доступных для записи или могут, например читать содержимое конфигурационных данных и соответственно получать прямой доступ к базе данных. Каким образом могут попадать данные шеллы на ваш сервер? При обнаружении какой либо уязвимости в скрипте, или сторонних модулях, или вообще при наличии других уязвимых сторонних скриптов на сервере, или серверного ПО. Главная особенность заключается в том, что шеллы можно залить не в любые папки на сервере, а лишь в папки доступные для записи на сервере, и в DataLife Engine такими папками являются папки /uploads/ и /templates/, а также все вложенные в них папки. Данные папки должны иметь права на запись, т.к. вы в них заливаете посредством скрипта легальный контент, файлы, картинки, редактируете в админпанели шаблоны и прочее. И как правило в эти папки производится загрузка шеллов при обнаружении злоумышленником какой либо бреши на сервере в любом скрипте, даже не имеющем отношения к DataLife Engine. Можно ли защитить эти папки, в случае попадания в них зловредного PHP файла, ведь нельзя запретить доступ к этим папкам? Можно, и достаточно не сложно.

Итак, вам необходимо разместить в папках /uploads/ и /templates/ файл .htaccess со следующим содержимым:
php_flag engine off

Данная строчка отключает использование PHP интерпретатора при попытке обращения к PHP файлам находящимся в этих папках, а также находящимся во всех вложенных папках. Поэтому даже в случае заливки в эти папки файлов со зловредным PHP кодом, они становятся для злоумышленника совершенно бесполезными, т.к. попросту не будут запускаться и выполнятся сервером.

К сожалению далеко не все хостинг провайдеры позволяют управлять через .htaccess данным параметром, но для таких сайтов решение также существует, поэтому если на вашем сервере не работает вышеуказанный способ, то разместите в этих же папках .htaccess с содержимым:
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?.*">
Order allow,deny
Deny from all
</FilesMatch>

Данный код запрещает прямое обращение к PHP файлам, находящимся в этих папках.

Вот собственно и все, эти несложные манипуляции позволят серьезно повысить безопасность вашего сайта, даже в случае если найдется серьезная уязвимость в сторонних модулях и скриптах.

fmnokia Неплохо бы в стандартный дистрибутив второй вариант поместить.

celsoft fmnokia,
Да, в будущем это также войдет в дистрибутив

Источник: dle-news.ru/tips/1164-zaschita-papok-skripta-ot-zapuska-storonnih-skriptov.html 23 октября 2010

И как мы видим что начиная с 9 версии начались поставляться эти .htaccess в нужных папка дистрибьютива dle

 

[Sergo_Sev]

У меня даже и с htaccess ломали сайты если дыры не все закрыты, так что нужно ставить все заплатки и про htaccess тоже не забывать

 

[E-body]

У меня даже и с htaccess ломали сайты если дыры не все закрыты, так что нужно ставить все заплатки и про htaccess тоже не забывать

это уже не движек виноват, а хостер или невнимательный админ утерявший бдительность (банальная история, троян утянул пароли к фтп и т.д.)

 

[Sergo_Sev]

это уже не движек виноват, а хостер или невнимательный админ утерявший бдительность (банальная история, троян утянул пароли к фтп и т.д.)

На разных хостингах с 15-ти значными паролями... Сомневаюсь
Зато когда все дыры (а их там дофига) закрыл по инструкциям с dle-news - ломать перестали

 

[dmx]

А если залить в эту папку с .htacces напимер html
php_flag engine 1
AddHandler application/x-httpd-php .html

И всё - можно пыху запускать. ( теоретически ).

 

[TePPaH]

E-body сказал(а ↑ это уже не движек виноват, а хостер или невнимательный админ утерявший бдительность (банальная история, троян утянул пароли к фтп и т.д.) На разных хостингах с 15-ти значными паролями... Сомневаюсь Зато когда все дыры (а их там дофига) закрыл по инструкциям с dle-news - ломать перестали

А на 9,6 много дыр?
А то гугла что-то мусор сплошняком выдает...

 

[lift]

А на 9,6 много дыр? А то гугла что-то мусор сплошняком выдает...

В паблике дыр нет, вот и выдает мусор.