Привет. У меня сайт на вордпресе. Вот недавно поставил плагин Wordfence, и посмотрел трафик онлайн. Что заинтересовало, так это то, что почти каждую минуту, с разных IP, из разных мест и стран, кто то долбится в папку uploads, и пытается пройти к файлам изображений.
Насколько это опасно, и опасно ли вообще. А если опасно, то может что посоветуете.
_____________
Старый конь борозды не испортит
Полная Версия: Попытки взлома?
проверяют на уязвимости и наличие шеллов которые могут там случайно оказаться всякие боты чекеры
Ага! А что такое шелл? Как узнать есть он или нет? Я ещё слабоват в этом.
_____________
Старый конь борозды не испортит
_____________
Старый конь борозды не испортит
шелл - это вредоносный файл, который заливается на ваш сервер злоумышленником, что бы получить доступ к файлам , на вашем сервере
и можно делать с этими файлами все, что угодно
Ребята! Как этого избежать???
_____________
Старый конь борозды не испортит
_____________
Старый конь борозды не испортит
| Цитата |
| Ребята! Как этого избежать??? |
Боты и всякие хакерюги постоянно ломятся...можно сказать ежечасно, особенно со стороны Китая. Поэтому избежать этого нельзя, нужно просто, чтоб
1. Грамотно проверять тип файла картинки (а не просто по расширению)
2. Делать для любой загружаемой картинки хоть небольшой 5-10 px, но ресайз.
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
А если ей сначала скрин, а потом уже этот скрин загружать? И уж извини старого дурня, а что такое ресайз?
_____________
Старый конь борозды не испортит
_____________
Старый конь борозды не испортит
| Цитата |
| И уж извини старого дурня, а что такое ресайз? |
Ресайз - resize, изменить размер, скажем была картинка 800х600, а сделали из нее 785x590. Как-то виден на хабре пример такой картинки, т.е. в картинку запаковывают код, который в определенных условиях можно будет запустить, вероятно ресайз его испортит. Однако, наверное, стоит так заморачиваться только если картинка где-то может инклюдится или типа того.
| Цитата |
| А если ей сначала скрин, а потом уже этот скрин загружать? |
не совсем понял...
_____________
Не тот велик, кто не падал, а тот кто падал и поднимался.
Нифига не надо делать кроме как віставіть права на папку uploads = 555
_____________
Лэт ит би
_____________
Лэт ит би
| Цитата (ABC @ 8.10.2014 - 12:38) |
| Ресайз - resize, изменить размер, скажем была картинка 800х600, а сделали из нее 785x590. Как-то виден на хабре пример такой картинки, т.е. в картинку запаковывают код, который в определенных условиях можно будет запустить, вероятно ресайз его испортит. Однако, наверное, стоит так заморачиваться только если картинка где-то может инклюдится или типа того. |
Не изменить размер, а прочитать изображение и создать на его базе новое, которое и будет сохранено.
| Цитата (Nuzhser @ 13.11.2014 - 23:00) |
| Нифига не надо делать кроме как віставіть права на папку uploads = 555 |
А потом будут плодиться посты: скачал скрипт, установил, все работает, но меня взломали.
Не сомневаюсь, что ты скажешь: "Сам дурак, права на папку не выставил", но не проще ли сразу написать правильный код, а не мастерить костыли?
_____________
[продано копирайтерам]
| Цитата (Nuzhser @ 13.11.2014 - 22:00) |
| Нифига не надо делать кроме как віставіть права на папку uploads = 555 |
Нафига нужна папка uploads, в которой вебсервер не имеет прав на запись?
Ой извиняюсь я имел ввиду права 700 на єту папку
_____________
Лэт ит би
_____________
Лэт ит би
Обсраться в вордпрессе досих пор нет htaccess потипа такого? Хотя когда в последний раз ковырял вордпресс из коробки приходилось ручками его допиливать от тупейших дыр, но эт было давно.
php_flag engine 0
Options -ExecCGI
Options -Indexes
Header set X-Robots-Tag "noindex, nofollow, noimageindex"
Здесь расположена полная версия этой страницы.