- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вы позволяете своим пользователям заливать в их папки произвольные скрипты? уверен что нет
Да блин. В джипег зашивают вирус и аплодят как картинку.
то там папка uploads права 444 поставте
..что рыбе зонтик
Поделюсь своим подходом к мониторингу. Изменения файлов мониторить очень просто с помощью системы контроля версий, например, Subversion. Правда, обычного FTP-доступа будет недостаточно, потребуется SSH-доступ. Но схема очень проста и эффективна - на сервере делается чекаут ветки со стабильным кодом и каждое утро svn st - эта команда будет показывать все измененные файлы. Плюс использование VCS уже само по себе несет много плюшек, даже если с проектом работает один разработчик. Важный момент - на хостинге нужно закрыть доступ к папке .svn.
А чтобы предотвратить исполнение шеллов в jpeg-картинках, нужно в папку, куда они загружаются, поместить .htaccess с одной простой инструкцией:
. И все, теперь запустить что-либо у злоумышленника ну никак не получится.for93t, про php_flag engine 0 - первая здравая мысль в топике.
Изменения файлов мониторить очень просто с помощью системы контроля версий, например, Subversion
Проще, чем простой скрипт? Да Вы, батенька, мазохист :)
И все, теперь запустить что-либо у злоумышленника ну никак не получится.
Если только он раньше не получит доступ на хостинг :)
Проще, чем простой скрипт? Да Вы, батенька, мазохист :)
Я без VCS уже не представляю себе нормального процесса программирования, даже если работаю в одиночку. Возможно, кому-то это покажется излишним, но это до того, как полностью въедешь в суть системы и осознаешь ее плюсы. В чужих (зачастую и в своих тоже) велосипедах давно разочаровался, предпочитаю использовать проверенные инструменты. Да и что может быть проще вот таких команд:
svn st - и видно все изменения, всех файлов всего проекта
svn up - и все то, что отлажено в течение нескольких дней на dev-сервере в течение пары секунд оказывается на живом серваке, без сценариев, типа:
- Вася, на сайте fatal error!
- твою мать, новый класс забыл залить (впопыхах открывая ftp-клиент)..."
Я не говорю о Git'e, где плюшек для разработчика еще больше.
Нет ничего проще использования проверенного и отлаженного инструмента по своему назначению. А корпение над разного рода велосипедами как раз больше смахивает на мазохизм, по моему скромному мнению.
И все, теперь запустить что-либо у злоумышленника ну никак не получится.
Ну, могу с вашим "никаком", например, при помощи AllowOverride поспорить..
svn up - и все то, что отлажено в течение нескольких дней на dev-сервере в течение пары секунд оказывается на живом серваке, без сценариев, типа:
Вообще, по хорошему ещё механизм миграций добавить.. и заливать не "на живую", а в соседний каталог, на который символическую ссылку (ln -s) делать с public_html..
Проще, чем простой скрипт? Да Вы, батенька, мазохист
Ну, тут на самом деле вопрос спорный.. если всё равно используешь контроль версий, то почему бы и нет.. лишнюю проверку, например, с отправкой уведомления добавить несложно.. Автоматически перезаписывать старую версию - не вариант.. мало ли какой плагин обновится.. (но это скорее момент организационный, независимо от способа проверки)...
Важный момент - на хостинге нужно закрыть доступ к папке .svn.
да-да. Ну и далеко не каждый хостинг предоставляет SVN. На VPS - не каждый будет поднимать.. А с домашнего синхронизировать - не айс.. т.к. по той или иной причине может быть выключен.
А чтобы предотвратить исполнение шеллов в jpeg-картинках, нужно в папку, куда они загружаются, поместить .htaccess с одной простой инструкцией:
. И все, теперь запустить что-либо у злоумышленника ну никак не получится.
злоумышленник загрузит сначала свой хтасес, а потом все остальное.
злоумышленник загрузит сначала свой хтасес, а потом все остальное.
..не факт. Скорее отредактирует, добавит свои строчки. Так как если просто воткнуть хтаксесс с мобильным редиректом, то сайт может перестать работать. А в таком случае запрет на пхп будет работать.
злоумышленник загрузит сначала свой хтасес, а потом все остальное.
Ну, "приличные" файл-аплоадеры не дают .htaccess загружать... Да и кучу других расширений..
Да блин. В джипег зашивают вирус и аплодят как картинку.
вообще, не встречал конфигураций, где бы файл с расширением .jp(e?)g обрабатывался php (если, конечно, иное не указано в том самом .htaccess, который залит злоумышленником).
вообще, не встречал конфигураций, где бы файл с расширением .jp(e?)g обрабатывался php
Открой любую вложенную картинку на Серче. ;) Никакого jpg в конце нет.