禁止PHP解析
如果網站有漏洞,萬一有人在網站上上傳一些木馬文件,就會存儲在網站的目錄裏,如果被解析就完蛋
比如,如果黑客上傳一個info.php, 同時我們也沒有在apache裏去設置禁止解析用戶上傳的文件,那麼黑客很有可能會在瀏覽器裏看到我們的配置信息
我們只需要限制這些上傳的木馬文件即可,限制的2種方法:
不允許上傳,但這是不合適的,所有用戶都上傳不了了
即使上傳後,也不允許進行任何操作,不允許解析
禁止PHP解析算是一個安全選項。
禁止PHP解析的核心配置文件:
<Directory /data/wwwroot/www.123.com/upload> //選擇目錄
php_admin_flag engine off //禁止解析PHP
</Directory>
- 1
- 2
- 3
- 4
禁止解析PHP的結果是在網頁上直接顯示源代碼。
對111.com/upload目錄做禁止PHP解析。
編輯虛擬配置文件:
[root@shuai-01 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
</Directory>
保存退出檢查配置文件語法並重新加載配置文件:
[root@shuai-01 ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@shuai-01 ~]# /usr/local/apache2.4/bin/apachectl graceful
查看效果:
顯示的是源代碼
當然,禁止解析PHP和訪問控制一起使用,效果更好:
編輯配置文件:
<Directory /data/wwwroot/111.com/upload>
php_admin_flag engine off
<FilesMatch (.*)\.php(.*)>
Order allow,deny
deny from all
</FilesMatch>
</Directory>
保存退出重新加載
禁止訪問
參考博客:
http://blog.51cto.com/kevinjin117/1835341
限制user_agent
user_agent(用戶代理):是指瀏覽器(搜索引擎)的信息包括硬件平臺、系統軟件、應用軟件和用戶個人偏好。
當黑客用CC攻擊你的服務器時,查看下日誌發現user_agent是一致的,而且一秒鐘出現多次user_agent,這樣就必須限制user_agent
配置文件:
<IfModule mod_rewrite.c> //使用rewrite模塊
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR] //定義user_agent條件,OR表示兩條件之間是或者的意思,NC表示忽略大小寫
RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC] //定義user_agent條件
RewriteRule .* - [F] // 規則 [F] 表示forbidden(403)
</IfModule>
編輯虛擬配置文件:
[root@shuai-01 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} .*curl.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} .*baidu.com.* [NC]
RewriteRule .* - [F]
</IfModule>
保存退出檢查配置文件語法並重新加載配置文件:
[root@shuai-01 ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@shuai-01 ~]# /usr/local/apache2.4/bin/apachectl graceful
測試:
[root@shuai-01 111.com]# curl -x127.0.0.1:80 'http://111.com/123.php' -IHTTP/1.1 403 Forbidden
Date: Tue, 26 Dec 2017 11:41:06 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
指定一個user_agent測試:
[root@shuai-01 111.com]# curl -A "shuailinux" -x127.0.0.1:80 'http://111.com/123.php' -I
HTTP/1.1 200 OK
Date: Tue, 26 Dec 2017 11:42:18 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
命令:curl
選項:
-A 指定user_agent。
如:
[root@shuai-01 111.com]# curl -A "shuailinux" -x127.0.0.1:80
-e 指定referer,指定引用地址
如:
[root@shuai-01 ~]# curl -e "http://111.com/123.txt" -x127.0.0.1:80 111.com/logo.png -I
-x 在給定的端口上使用HTTP代理
如:
[root@shuai-01 111.com]# curl -x127.0.0.1:80 'http://111.com/123.php'
-I 查看狀態碼
如:
[root@shuai-01 111.com]# curl -x127.0.0.1:80 'http://111.com/123.php' -I