رفتن به مطلب

نحوه جلوگیری از آپلود شل(یا به قول دوستان شلر....)


md3848

پست های پیشنهاد شده

سلام :)

نحوه جلوگیری از آپلود شل(یا به قول دوستان شلر....)

من چطور میتونم از آپلود شلر تو وردپرس از طریق بارگزاری افزونه،بارگزاری قالب، و بارگزاری رسانه جلو گیری کنم؟؟؟؟؟

غیر از این سه تا راه دیگه ای برا آپلود شلر هستش؟؟؟؟

لینک به ارسال

برای اینکه از این طریق بتونن آپلودکنن باید دسترسی به مدیریت داشته باشن در غیر اینصورتنمیتونن

اگر مدیر دیگه ای دارید میتونید سطح دسترسی این فایل هارو غیر قابل ویرایش بزارید یا حتی اگر از طریق مدیریت کاری با ویرایش پوسته و افزونه ندارید و از هاست انجام میدید به کل این قسمت هارو از کار بندازید یا با سطح دسترسی پایین یا خالی کردن این فایل ها

دقتکنید که حذف نکنید این فایل هارو چون دسترسی میده به هکر

لینک به ارسال

دقتکنید که حذف نکنید این فایل هارو چون دسترسی میده به هکر

من متوجه نشدم چی رو حذف نکنم؟؟؟؟

حالا چطور ویرایش، افزودن و... مربوط به قالب و افزونه رو غیر فعال کنم؟؟؟؟>>>>من میرایش قالب رو غیر فعال کردم>>ولی چطور قسمت "بارگزاری قالب" رو غیر فعال کنم>>>چیزی در موردش نمیدونم......

برا افزونه هم که کلا هیچی نمیدوننم>>>>>>میشه بگی باید چیکار کنم.....

لینک به ارسال

کافی بود کمی جستجو کنید آموزش قرار دادیم که چجوری theme-editor ببندید

پست 77-78

درضمن برای plugin-editor هم آموزش نوشته شده انشالله در روز های اتی قرار میدهم

اما ساده میتونید در هسته فایل plugin-editor.php تغییر نام بدید

لینک به ارسال

قسمت ویرایش پلاگین و قالب رو غیر فعال کردم >>>من میخوام قسمت "بارگزاری پلاگین و قالب" رو غیر فعال کنم.>>>>راستی از طریق "افزودن پرونده چند رسانه ای" نمیشه شلر آپلود کرد؟؟؟(فایل php رو نمیشه توش آپلود کرد ولی بقیه فرمت ها رو میشه آپلود کرد>>>>>حالا شلر فرمتش فقط php هستش یا فرمت دیگه ای هم داره>>>>> حالا کاری به این ندارم >>چطور میشه از طریق قسمت "افزودن پرونده چند رسانه ای" فقط بشه عکس و فایل zip آپلود کرد>>>>و بقیه فایل ها رو نشه آپلود کرد؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟)

با کد زیر میشه >>>

/*ویرایش فایل ها از طریق داشبورد را غیر فعال کنید*/

define('DISALLOW_FILE_EDIT',true);

لینک به ارسال

ببینید هدف شما هنوز مشخص نیست

اگر کسی دسترسی داشته باشه به پنل عملا نیازی نداره که شلر آپلود کنه

اگر دسترسی کاربر محدود باشه چس نمیتونه به قسمت پلاگین هم دسترسی داشته باشه پس سوال بالا شما مفهوم نیست

لینک به ارسال

مثلا من به یه نفر برای مدتی مدیریت کل سایت رو میسپرم بهش>>>یا اختیاراتی رو به یکی از مدیران سایت میدیم>>>>کالا میخوام کاری کنم که یه وقت شیطون گولش نزنه.... :blink: (حالا چه عمد و چه غیر عمد)

مثلا نتونه از طریق قسمت های

"بارگزاری پلاگین و قالب" و

"افزودن پرونده چند رسانه ای" بتونه کاری کنه>>>و این کارا فقط از طریق هاست انجام بشه که پسورد اونم دست خودمه فقط

با حرفم موافقی؟؟؟؟؟؟؟

اصلا در کل با آپلود شلر طرف شل(سطح دسترسی) به دست میاره که میتونه افزایشش به>>>>و اون طوری که به فکر من میرس بعدش میتونه به هاست هم دسترسی پیدا کنه>>>>درست میگم؟؟؟؟

لینک به ارسال

میتونید یک روش ساده استفاده کنید

پرسش FTP اکانت در هنگام نصب و یا بارگزاری و.... میتونه مفید باشه

=========

پرونده های چند رسانه ای هم میشه تغییراتی داد اما بلاخره نصویر آپلود میکنند و میشه تصویر به عنوان شلر باشه و تغییر پسوند داده باشند

اما میونید htacess تغییراتی بدید و محدودیت در پوشه upload بدید که هیچ .php اجر نشود و یا در صورت اجرا ریداکت بشود

لینک به ارسال

سلام دوست عزیزم

گفته های حاج مهدی درست هست

ولی ما برای جلوگیری از اپلودشلر و اجراش تو هر کجا و هر جا نمیتونیم روشی به کار ببریم که صد در صد عملی باشه،برای جلوگیری از اپلود شلر و اجرای ان فقط وب سرور میتونه مفید واقع باشه

وب سرور هایی که از انتی شلر های پولی استفاده می کندد که کد های ناشناس و مشکوک را حذف میکنند

حالا هکر میتونه این رو هم دور بزنه اما خیلی خیلی سخت هست

طبق گفته های حاج مهدی اگر دسترسی به سی پنل باشه باز میشه اینو دور زد یا ....... اما اگر وب سرور قوی باشه خیلی سخت

بدرود/.

لینک به ارسال

اما میونید htacess تغییراتی بدید و محدودیت در پوشه upload بدید که هیچ .php اجر نشود و یا در صورت اجرا ریداکت بشود

کدش رو داری؟؟؟؟؟ ^_^

انتی شلر های پولی

این سایت رو نمیفزسته رو هوا >؟؟؟؟؟؟>>>>یه وقت دیدی یه چیز اشتباهی رو پاک کرد....

وب سرور قوی

چطور بفهمم این موضوع رو؟؟؟؟؟؟؟؟؟؟؟؟؟؟ :wacko:

لینک به ارسال

نکته خوبی که یادم رته بود بگم CXS هم میتونه بسیار مانع خوبی برای شلرها باشه اما خوب همیشه راهی برای Bypass وجود دارد

درضمن CXS باید روی سرور نصب و فعال باشد اما اکثر هاستینگ ها به دلایلی نصب هست و غیر فعال

http://www.configserver.com/cp/cxs.html

کدش رو داری؟؟؟؟؟

اگر شما کمتر عجله کنید بله دارم آموزش کامل امنیت در وردپرس مینویسم

این سایت رو نمیفزسته رو هوا >؟؟؟؟؟؟>>>>یه وقت دیدی یه چیز اشتباهی رو پاک کرد....

بالا توضیح دادم منظورشون CXS هست

چطور بفهمم این موضوع رو؟؟؟؟؟؟؟؟؟؟؟؟؟؟

این خود هم یک مهارت میخواهد اما کافیه کمی جسجو کنید

لینک به ارسال

اسکریپت ConfigServer eXploit Scanner (مخفف CXS) رو من باید بخرم و به شرکت هاستم بگم نصب کنه یا بهشون ول بدم و بگم این امکان رو برا هاستم فعال کن(آخه اینا برا فعال کردن کوچکترین چیز هم پول میخوان :blink: )

نوشته بود 50$ >>>>>>> :blink: >>>>>کد مجموعه adobe رو من 50$ نمیدم بابتش چه برسته به این اسکریپت فنقلی.... :angry: :angry: :angry: :angry: > :D

لینک به ارسال

اسکریپت ConfigServer eXploit Scanner (مخفف CXS) رو من باید بخرم و به شرکت هاستم بگم نصب کنه یا بهشون ول بدم و بگم این امکان رو برا هاستم فعال کن(آخه اینا برا فعال کردن کوچکترین چیز هم پول میخوان :blink: )

نوشته بود 50$ >>>>>>> :blink: >>>>>کد مجموعه adobe رو من 50$ نمیدم بابتش چه برسته به این اسکریپت فنقلی.... :angry: :angry: :angry: :angry: > :D

نوشته بنده بخونید :

درضمن CXS باید روی سرور نصب و فعال باشد اما اکثر هاستینگ ها به دلایلی نصب هست و غیر فعال

فکر میکنم جواب معلوم هست که باید هاستینگ داشته باشد و فعال نه شما

لینک به ارسال

پرسش FTP اکانت در هنگام نصب و یا بارگزاری و.... میتونه مفید باشه

این چیه داستانش؟؟؟؟؟

ما که از ftp استفاده نمیکنیم برای این کار اصلا حسابی برای ftp من تو هاستم درست نکردم.....>>>> یه راست اصلا اصلاعات رو از pc مفرستیم به هاست>>>>موقع نصب قالب ، افزونه و...

لینک به ارسال

داستانش جستجو کردن هست

این فقط یک مانع هست که برای نصب و آپلود از شما یوزر و پسورد FTP میخواد حتی اگر ساخته نشده باشد

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...