2. 程式人生 > >Apache限定目錄解析PHP,限制user_agent,PHP相關的配置

Apache限定目錄解析PHP,限制user_agent,PHP相關的配置

阿新 發佈:2018-11-25

Apache限定目錄解析PHP

  • 配置前訪問upload/index.php
[[email protected] ~]# curl  -x192.168.77.139:80 'www.test.com/upload/index.php'
This is upload diretory
  • 配置,/usr/local/apache2.4/conf/extra/httpd-vhosts.conf對應的虛擬網站增加如下內容,重新載入配置
<Directory /usr/local/apache2.4/test-webroot/upload>
    php_admin_flag engine off
</Directory>
[
 
[email protected] ~]# /usr/local/apache2.4/bin/apachectl graceful
  • 測試
[[email protected] ~]# curl  -x192.168.77.139:80 'www.test.com/upload/index.php'
<?php
echo "This is upload diretory\n";
?>
  • 雖然解析不了PHP,但會列印原始檔,可以再通過FilesMatch來禁止訪問。配置
<Directory /usr/local/apache2.4/test-webroot/upload>
    <FilesMatch (.*).php(.*)>
        Order allow,deny
        Deny from all
    </FilesMatch>
</Directory>
  • 載入配置檔案,測試
[[email protected] ~]# /usr/local/apache2.4/bin/apachectl graceful
[[email protected] ~]# curl  -x192.168.77.139:80 'www.test.com/upload/index.php'
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /upload/index.php
on this server.<br />
</p>
</body></html>

限制user_agent

  • user_agent可以理解為瀏覽器標識
  • 需要使用rewrite模組,去掉httpd.conf中的rewrite_module
  • 配置前訪問
[[email protected] ~]# curl -x127.0.0.1:80 "www.qq.com/index.php" -I
HTTP/1.1 200 OK
Date: Wed, 21 Nov 2018 01:32:20 GMT
Server: Apache/2.4.37 (Unix) PHP/5.6.32
X-Powered-By: PHP/5.6.32
Cache-Control: max-age=0
Expires: Wed, 21 Nov 2018 01:32:20 GMT
Content-Type: text/html; charset=UTF-8
[[email protected] ~]# curl -A myagent -x127.0.0.1:80 "www.qq.com/index.php" -I # 通過選項-A指定user_agent
HTTP/1.1 200 OK
Date: Wed, 21 Nov 2018 01:32:35 GMT
Server: Apache/2.4.37 (Unix) PHP/5.6.32
X-Powered-By: PHP/5.6.32
Cache-Control: max-age=0
Expires: Wed, 21 Nov 2018 01:32:35 GMT
Content-Type: text/html; charset=UTF-8
  • 配置,/usr/local/apache2.4/conf/extra/httpd-vhosts.conf對應的虛擬網站增加如下內容,重新載入配置。說明NC(no case)不區分大小寫;OR或者,表示與下面的條件是或的關係;F(forbidden)禁止
<IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
    RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
    RewriteRule  .*  -  [F]
</IfModule>
  • 重新載入配置,測試
[[email protected] ~]# curl -x127.0.0.1:80 "www.qq.com/index.php" -I
HTTP/1.1 403 Forbidden
Date: Wed, 21 Nov 2018 01:39:00 GMT
Server: Apache/2.4.37 (Unix) PHP/5.6.32
Content-Type: text/html; charset=iso-8859-1
[[email protected] ~]# curl -A myagent -x127.0.0.1:80 "www.qq.com/index.php" -I
HTTP/1.1 200 OK
Date: Wed, 21 Nov 2018 01:39:04 GMT
Server: Apache/2.4.37 (Unix) PHP/5.6.32
X-Powered-By: PHP/5.6.32
Cache-Control: max-age=0
Expires: Wed, 21 Nov 2018 01:39:04 GMT
Content-Type: text/html; charset=UTF-8

PHP相關的配置

  • 檢視配置檔案路徑
    方法1: /usr/local/php/bin/php -i|grep -i "loaded configuration file" # 不過這種方法不準確
    方法2: 可以寫個php檔案利用phpinfo()訪問檢視

  • 在使用/usr/local/php/bin/php -i|grep -i "loaded configuration file"時,有警告提示,配置處理

[[email protected] ~]# /usr/local/php/bin/php -i | grep -i "loaded configuration file"
PHP Warning:  Unknown: It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected the timezone 'UTC' for now, but please set date.timezone to select your timezone. in Unknown on line 0
Loaded Configuration File => /usr/local/php/etc/php.ini
#/usr/local/php/etc/php.ini中找到date.timezone設定成
date.timezone=Asia/Shanghai
#
# 載入,測試OK
[[email protected] ~]# /usr/local/apache2.4/bin/apachectl graceful                    [[email protected] ~]# /usr/local/php/bin/php -i | grep -i "loaded configuration file"
Loaded Configuration File => /usr/local/php/etc/php.ini
  • disable_functions,PHP有諸多內建的函式,有一些函式開放將會非常危險。因此,基於安全考慮應該把一些存在安全風險的函式禁掉(例如:phpinfo會顯示伺服器相關資訊)
# vim /usr/local/php/etc/php.ini // 搜尋disable_functions,編輯成如下
disable_functions = eval,assert,popen,passthru,escapeshellarg,escapeshellcmd,passthru,exec,system,chroot,scandir,chgrp ,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,ini_alter,ini_restore,dl,pfsocko pen,openlog,syslog,readlink,symlink,leak,popepassthru,stream_socket_server,popen,proc_open,proc_ close
  • 配置error_log
# 從/usr/local/php/etc/php.ini中搜索log_errors,改成如下
log_errors = On
# 再搜尋error_log,改為
error_log = /var/log/php/php_errors.log 
# 再搜尋error_reporting,改為 
error_reporting = E_ALL & ~E_NOTICE
# 再搜尋display_errors,改為 
display_errors = Off
log_errors可以設定為on或者off,如果想讓PHP記錄錯誤日誌,需要設定為on;
error_log設定錯誤日誌路徑;
error_reporting設定錯誤日誌的級別,E_ALL為所有型別的日誌,不管是提醒還是警告 都會記錄。在開發環境下面設定為E_ALL,可以方便排查問題,但也會造成日誌記錄很多無意義的內容。&符號表示並且,~表示排除,所以兩個組合在一起就是在E_ALL的基礎上排除掉notice相關的日誌。display_errors設定為on,則會把錯誤日誌直接顯示在瀏覽器裡,這樣對於使用者訪問來說體驗不好,而且還會暴露網站的一些檔案路徑等重要資訊,所以要設定為off。
  • 配置open_basedir,將網站限定在指定目錄裡
    預設站點在/usr/local/php/etc/php.ini配置 open_basedir = /tmp:/usr/local/apache2.4/test-webroot
    虛擬站點配置是在對應站點目錄配置中配置: php_admin_value open_basedir "/data/wwwroot/www.123.com/:/tmp/"

注意,/tmp的主要作用是網站的一些臨時檔案需要訪問該目錄,比如上傳檔案時。

相關推薦

Apache限定目錄解析PHP,限制user_agent,PHP相關配置

Apache限定目錄解析PHP 配置前訪問upload/index.php [[email protected] ~]# curl -x192.168.77.139:80 'www.test.com/upload/index.php' This is upload

限定某個目錄禁止解析php 限制user_agent php相關配置

限定目錄禁止解析php一、限定某個目錄禁止解析php通過禁止php解析圖片目錄,來限制網站被×××惡意找到後門獲取到數據庫權限#vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf#/usr/local/apache2.4/bin/apachectl -t

44.限定某個禁止解析php 限制useragenr php相關配置

11.28 限定某個目錄禁止解析php 11.29 限制user_agent(防止cc攻擊) 11.30/11.31 php相

11.28 限定某個目錄禁止解析php 11.29 限制user_agent 11.30/11.31 php相關配置

11.28 限定某個目錄禁止解析php 11.29 限制user_agent 11.30/11.31 php相關配置- 11.28 限定某個目錄禁止解析php - 11.29 限制user_agent - 11.30/11.31 php相關配置 - 擴展 - apache開啟壓縮 http://ask.ape

限定某個目錄禁止解析php限制user_agentphp相關配置

lamp架構限定某個目錄禁止解析php當黑客攻擊你的服務器時,在你的靜態目錄下添加一個木馬腳本,這時服務器將會很大風險,這時需要限制哪些目錄不能解析php,提高安全性。1、新增內容[root@centos7 local]# vi /usr/local/apache2.4/conf/extra/httpd-vh

2018-3-7 11周2次課 限定某個目錄禁止解析php限制user_agentphp相關配置

user_agent 禁止解析php php相關配置 11.28 限定某個目錄禁止解析php禁止php解析:防止被上傳有害php文件,而被執行,php中可能有危險的函數,如果開放了上傳權限,肯定會被上傳惡意木馬文件,會被拿到服務器權限,root權限,非常危險。更可以在加上FilesMatch訪問限

11.28 限定某個目錄禁止解析php;11.29 限制user_agent;11.30-11.31

php相關配置(上下)擴展 :apache開啟壓縮 :http://ask.apelearn.com/question/5528apache2.2到2.4配置文件變更 : http://ask.apelearn.com/question/7292apache options參數 : http://ask.ap

apache2.4限定某個目錄禁止解析PHP限制user_agentPHP相關配置

Linux限定某個目錄禁止解析PHP對於使用PHP語言編寫的網站,有一些目錄是有需求上傳文件的,比如服務器可以上傳圖片,並且沒有做防盜鏈,所以就會被人家當成了一個圖片存儲服務器,並且盜用帶寬流量。如果網站代碼有漏洞,讓黑客上傳了一個用PHP代碼寫的木馬,由於網站可以執行PHP程序,最終會讓黑客拿到服務器權限,

11.28 限定某個目錄禁止解析php 11.29 限制user_agent 11.30/11.31

php11.28 限定某個目錄禁止解析php11.29 限制user_agent11.30/11.31 php相關配置11.28 限定某個目錄禁止解析php11.29 限制user_agent11.30-php相關配置-上11.31 php相關配置-下11.28 限定某個目錄禁止解析php 11.29 限制u

8.限定某個目錄禁止解析php&限制user_agent

目錄禁止解析php 限制user_agent [toc] 11.28 限定某個目錄禁止解析php 有這樣一種情況,有些站點和論壇是允許上傳圖片到服務器,但是這就給黑客留下了可進入服務器的大門,他們上傳一些php或者js到服務器,然後被我們執行加載,有些函數可以讓黑客獲取最大的權限,從而對數據造成威

LAMP(7限定某個目錄禁止解析php限制user_agentPHP相關配置PHP擴展模塊

PHP相關配置 限定某個目錄禁止解析php防止黑客上傳一個目錄文件php,網站會從而解析php,對我們的網站有很大的危險。因此,我們需要在能上傳文件的目錄直接禁止解析PHP代碼禁止步驟1.編輯虛擬主機配置文件:增添內容核心配置文件內容 <Directory /data

四十四、限定某個目錄禁止解析php限制user_agentPHP相關配置

限定某個目錄禁止解析php 限制user_agent PHP相關配置 一、限定某個目錄禁止解析php禁止解析php主要是為了安全,一般靜態文件所存放的目錄下是不允許放PHP的# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf<Dir

限定某個目錄禁止解析php限制user_agentphp的配制文件、PHP的動態擴展模塊

pop baidu -i leak tin 文件上傳 cto pin 解析 1、 限定某個目錄禁止解析php(有些目錄用戶可以上傳文件或圖片,可能會被惡意者上傳其它文件):編輯:/usr/local/apache2.4/conf/extra/httpd-vhosts.con

apache限制某個目錄禁止解析phpapache禁止指定user_agentphp相關配置

日誌 httpd parse 臨時 usr cor 區分大小寫 直接 -i 一:apache限制某個目錄禁止解析php 某個目錄下禁止解析 php,這個很有用,我們做網站安全的時候,這個用的很多,比如某些目錄可以上傳文件,為了避免上傳的文件有×××,所以我們禁止這個目錄下面

LAMP(apache禁止解析php限制user_agentphp配置,open_bashdir

apache禁止解析php 限制user_agent php相關配置 open_bashdir apache壓縮功能/https搞ss 一、apache禁止解析php.實例:假如我們的一個目錄是允許上傳圖片的,可能有些別有用心的人通過某些手段上傳php文件上來。也就意味著被執行的文件,可能

限制某個目錄禁止解析PHP限制user_agentPHP相關配置

Linux學習筆記限制某個目錄禁止解析PHP 限制user_agent PHP相關的配置 限制某個目錄禁止解析PHP、限制user_agent、PHP相關的配置

禁止解析目錄php限制訪問user_agent,php相關配置

php禁止解析 訪問控制-user_agent php相關配置—錯誤日誌 時區 安全設置 修改配置文件 測試經過測試,根本無法解析到123.php的內容,還可以再次修改配置文件,再提高一個安全級別,根本不允許訪問這個目錄 訪問控制-user-agent修改配置文件F forbidden測試

nginx防盜鏈+訪問控制+限制指定目錄運行php+解析支持php+現在user_agent

訪問控制 防盜鏈 限制目錄允許php 支持php 限制agent nginx防盜鏈 作用:防止其他網站引用本web站圖片與視頻資源,導致本站流量過大,從而造成不必要的經濟開支;比如:本網站test.com有圖片文件1.gif,而B網站使用test.com/1.gif 引用我們的圖片,那麽本

限制某個目錄禁止解析phpuser_agentphp相關配置

20180531一、 限定某個目錄禁止解析php 1、 核心配置文件內容<Directory /data/wwwroot/11.com/upload>php_admin_flag engine off</Directory> 2、curl測試時直接返回了php源代碼,並未解析 二、 限

LAMP環境-限定PHP解析、useragent、PHP相關配置Apache相關配置

LAMP環境-限定PHP解析、usera11.28 限定某個目錄禁止php解析 本節內容應用於對靜態文件目錄或可寫的目錄進行優化設置,通過限制解析/訪問權限來避免別惡意攻擊,提高安全性。 編輯虛擬主機配置文件: [root@centos-01inux 111.com]# vim /usr/local/apac