オスコマースハッキング

オスコマースハッキング

私のosCommerceはしばらく前にハッキングされ、その愚か者はそれを使って電子メールを送っていました。私は彼らがosCommerceイメージディレクトリにスクリプトを配置したことを知りました。

.htaccessまたは他のコンテンツを使用してスクリプトを実行できないように、特定のディレクトリ(画像を含むディレクトリなど)を無効にする方法はありますか?

使いやすい

<Files *.*>
order allow,deny
deny from all
</Files>

画像がサイトに表示されないため、.htaccessでは正しく機能しません。

すべてのosCommerceパッチを適用してより強力にする以外に何ができますか?

答え1

スクリプトの実行を許可したくない.htaccessにこれを入れることができると思います。

<Files *.*>
Options -ExecCGI
</Files>

すべての「不良」ファイルの名前が特定の方法で指定されていることがわかっている場合は、次の方法でそのハンドラとの関連付けを無効にすることもできます。

<Files *.*>
RemoveHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
</Files>

最上位ディレクトリにある次のファイルを使用して、特定の名前付きファイルを完全に閉じることもできます。

<Directory full-path-to/dir>
     <FilesMatch "\.(php?|pl|perl)$">  
         Order Deny,Allow
         Deny from All
     </FilesMatch>
 </Directory>

または、アクセスに使用された実際のURLに基​​づいてロックすることもできます。

<LocationMatch "/URL/TO/FILES/.*\.(php?|pl|perl)$">
     Order Deny,Allow
     Deny from All
</LocationMatch>

関連情報