|
Разработчикам |
|
|||
|
|
|
|
|||||
|
|
|
|
аналог для nginx из поста выше с описанием комплекса мер по предотвращению атак.
location ~* ^/bitrix/tools/(html_editor_action|mail_entry|upload)\.php$ { deny all; } location ~* ^/bitrix/tools/vote/uf\.php$ { deny all; } location ~* ^/bitrix/components/bitrix/sender\.mail\.editor/ajax\.php$ { deny all; } location ~* ^/bitrix/admin/site_checker\.php$ { deny all; } Можно скомпоновать с постом , проверяя еще типа запроса. |
|
|
|
|
например /bitrix/tools/putin_***lo.php в самом простом случае в файле вызывается функция eval в которую передаются данные из $_REQUST переменно. При обращении к этому файлу в _REQUST передается код который нужно выполнить. получается заражение сайта в несколько шагов: 1. используется уязвимость что бы залить файл с возможностью его выполнить. 2. в загруженный файл передаются команды на выполнение. |
|||||
|
|
|
|
|||
|
|
|
|
|||||||
|
|
|
|
|||||
|
|
|
|
|||||||
|
|
|
<Files ~ "^(site_checker)\.php$> Order Deny,Allow deny from all # Здесь указать разрешенный адрес или адрес сетки с маской Allow from XX.XXX.0.0/16 </Files> |
||||
|
|
|
|||
© 2001-2024 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом. 
Политика конфиденциальности