发现自己的一个 discuz 站点被上传了恶意的 php 文件,漏洞暂时还没找到。现在就想先让这些上传的 php 文件不能被访问,只允许用户访问 /index.php 、/forum.php 等几个特定的 php 文件,请教下各位有没有什么好的办法? 多谢!
1
caesar 2016-09-28 10:59:34 +08:00
简单,锁定目录,禁止上传,执行,删除,修改
|
2
xss 2016-09-28 11:10:57 +08:00
nginx 的话,写条 regex 规则,当访问的文件不是 index.php forum.php 得时候一律返回 403
|
3
yanyandenuonuo 2016-09-28 11:12:13 +08:00
上传文件判断类型 开头自行添加<?php exit();就可以了吧。。
|
4
BOYPT 2016-09-28 11:12:32 +08:00
禁止上传目录的 php 执行不就好了么,难道你的代码还能传到任意位置?
|
5
lincanbin 2016-09-28 11:12:49 +08:00
如果是 Apache ,在 upload 目录加个.htaccess
<IfModule mod_php5.c> php_flag engine off </IfModule> <IfModule mod_php7.c> php_flag engine off </IfModule> |
6
server 2016-09-28 11:12:54 +08:00
上传交给第三方 云平台
|