Хак Защита от загрузки шеллов

[ZCFD]

CheburatoR-all - поставь на файл права 444 и попробуй его шеллом удалить

 

[BKK]

ZCFD, я написал метод защиты на общий фон,а не на определенный сервер где правильно выставлены права

 

[zerg]

тут подумалось... можно отключить пхп в определенной папке (куда грузятся файлы юзверей к примеру) php_flag engine off тогда даже если зальют шел. выполнятся он не будет)

 

[CheburatoR-all]

CheburatoR-all - поставь на файл права 444 и попробуй его шеллом удалить

Тогда нет смысла вообще оставлять модуль загрузки файлов. Легче его просто удалить

 

[DrakonHaSh]

Тогда нет смысла вообще оставлять модуль загрузки файлов. Легче его просто удалить

тебе вообще-то про .htaccess сказали причем очень даже грамотно

 

[dragonstyle]

Так, харе флудить. Обсуждаем только данный хак.
Свои мысли переносим в ЛС

 

[PoMaH]

$allowed_extensions = array ("gif", "jpg", "png", "jpe", "jpeg" );
$allowed_video = array ("avi", "mp4", "wmv", "mpg", "flv", "mp3", "swf", "m4v", "m4a", "mov", "3gp", "f4v" );
$allow_conf = str_replace("php",md5(time() - rand(30,60)),strtolower( $config['files_type'] ));
$allow_conf = str_replace("phtml",md5(time() - rand(30,60)),strtolower( $config['files_type'] ));
$allowed_files = explode( ',', $allow_conf );
$img_result_th = "";
$img_result = "";

Правельней

$allowed_extensions = array ("gif", "jpg", "png", "jpe", "jpeg" );
$allowed_video = array ("avi", "mp4", "wmv", "mpg", "flv", "mp3", "swf",  "m4v", "m4a", "mov", "3gp", "f4v" );
$allow_conf = str_replace("php",md5(time() - rand(30,60)),strtolower(  $config['files_type'] ));
$allow_conf = str_replace("phtml",md5(time() - rand(30,60)), $allow_conf);
$allowed_files = explode( ',', $allow_conf );
$img_result_th = "";
$img_result = "";

Или даже проще

$allow_conf = str_replace(array("php","phtml"), md5(time() - rand(30,60)), strtolower(  $config['files_type'] ));

а то после замены ПХТМЛ - ПХП не заменит :]