Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

[mfwsro]

Buna ziua,am nevoie de citeva sfaturi sau coding pt .htacces sau mod security in urmatorul subiect.
Exista pe net un script php shell de care banuiesc ca ati auzit si vreau sa evit accesul lui in public_html pe site prin upload.Cum se poate asa ceva?
De exemplu file respectiva de shell o numesc: demo.php.jpg sau demo.php.rar serviciul de upload nu imi citeste extensia de .php si odata ce am urcat fila respectiva pe site daca dau click pe linkul primit in urma uploadului pot intra lejer in public_html si pot face ce vreau pt ca shell-ul contine in el un fel de cpanel.Va multumesc.

[Amenthes]

Atata timp cat extensia nu e .php nu are cum sa mearga. In mod normal,
Apache nu trimite decat fisierele cu extensia .php catre interpretatorul PHP.
Asa ca o simpla verificare dupa extensie ajunge. Exemplele date de tine nu
vor fi interpretate de PHP.

[Pirahna]

Amenthes a scris: Atata timp cat extensia nu e .php nu are cum sa mearga. In mod normal,
Apache nu trimite decat fisierele cu extensia .php catre interpretatorul PHP.
Asa ca o simpla verificare dupa extensie ajunge. Exemplele date de tine nu
vor fi interpretate de PHP.

Daca reuseste sa scrie si htaccesul si sa aloce fisierele de tip rar interpretorului de php atunci o sa mearga ca php ... mi s-a intamplat mie acum vreo 2 ani.

Cel mai sigur mod e sa aloci numai permisiuni de citire pe tot directorul, sa permiti numai tipurile tale de fisiere (verificarea dupa extensie e inutila, si chiar si cea mime are probleme), si sa ai grija din htaccess sa nu fie activ php-ul in folderul ala.

Eu am dat un disable taranesc la fisierele php pe cateva site-uri, dar nu e secure (bine, nici n-am nevoie sa fie secure acolo, ca nu au ce sa-mi faca decat maxim un deface) ...

Si sugerez sa iti faci si un log cu fisierele uploadate + ip + timestamp, ca sa nu mai cauti in logurile apache (care sunt groaznic de lungi si obositoare).

[mfwsro]

O solutie ar fi dezactivarea register globals dar mie imi trebuie activat pt ca serviciile sa fie functionabile si pt ce imi trebuie aceasta banare a anumitor extensii este ca o sa deschid un chat de wap/web iar userii sa isi urce singuri pozele.

[Amenthes]

Pirahna a scris: Daca reuseste sa scrie si htaccesul si sa aloce fisierele de tip rar interpretorului de php atunci o sa mearga ca php ... mi s-a intamplat mie acum vreo 2 ani.
Nici nu ma indoiesc. Dar nu inteleg cum ar putea cineva sa iti rescrie
htacces-ul daca nu poate executa PHP. Din punctul meu de vedere, daca
ajunge sa iti rescrie htaccess-ul in modul asta ai probleme mult mai grave.

Pirahna a scris: Cel mai sigur mod e sa aloci numai permisiuni de citire pe tot directorul, sa permiti numai tipurile tale de fisiere (verificarea dupa extensie e inutila, si chiar si cea mime are probleme), si sa ai grija din htaccess sa nu fie activ php-ul in folderul ala.
Mime-type e egala cu zero. Pot oricand sa spoof-uiesc mime-type-ul. Extensia,
insa nu mi se pare inutila. O optiune mai buna este extensia PHP fileinfo. Dar
pana la aia, cred ca e ok extensia de fisier. Nu toata lumea are parte de
ce extensii PHP isi doreste.

La treaba cu permisiunile de citire, nu inteleg. Scrierea cum o faci?
Schimbi dinamic cu PHP-ul drepturile pe director? Si cum adica sa permiti
numai tipurile tale de fisiere iar extensia e inutila? Dupa ce ai face verificare?

[Pirahna]

Daca citeai atent am zis ca sunt probleme cu mime types, anume poti sa maschezi usor un fisier php ca gif.

Pentru htaccess pot sa existe alte vulnerabilitati (probabil pe alt site de pe acelasi user), ideea e ca ar trebui sa aiba grija si de ala, ca nu e invincibil.

Faci scrierea si apoi un chmod.

Pui in htaccess sa poata fi citite numai tipurile tale de fisiere (pentru intrebarea lui amenthes), adica numai extensiile de tipul ala, si sub nici o forma sa nu fie parsate in vreun fel.

Sunt multe de verificat dar cel mai sigur e sa te joci la permisiuni si la owner.
Preferabil sa izolezi directorul in care se face uploadul, ca sa ai pagube minime.

Eu la site-urile mele mai secure am scripturi de upload care urca in temp, prelucreaza si apoi le arunca intr-un folder cu owner admin si permisiuni 750, si le citesc de acolo cu un script.

Sunt fel si fel de solutii, vezi si tu care merge la tine.

[Amenthes]

For the record:
Pirahna a scris: Daca citeai atent am zis ca sunt probleme cu mime types, anume poti sa maschezi usor un fisier php ca gif.
Pirahna a scris: ...(verificarea dupa extensie e inutila, si chiar si cea mime are probleme)...

Apoi:
Pirahna a scris: Pentru htaccess pot sa existe alte vulnerabilitati (probabil pe alt site de pe acelasi user), ideea e ca ar trebui sa aiba grija si de ala, ca nu e invincibil.
Exact cum ma gandeam. Asta inseamna probleme mai mari decat upload de
fisiere PHP. Oricum, per total ai dreptate si sunt sfaturi bune.

[Pirahna]

Uite si inca doua sugestii, acum ca am dormit.

1. foloseste mod_security cand poti, per total mi-a fost foarte util
2. cand faci upload la fisier nu folosi niciodata extensia sau numele fisierului uploadat.
De exemplu: am poza123.jpg ... cand o uploadez tu ar trebui sa ii pui un nume random si extensia dorita de tine, astfel incat eu daca pun un gogu.php, sa apara niste cifre random cu extensia jpg.

Si gata, for more you'll have to pay me. :lol:

[mfwsro]

Exista ceva pt banare cuvinte in htaccess?

[PHPRomania Bot]