Как защитить директории сайта от POST?

Question

[choodo]

Как запретить заливать в директории файлы через POST?
Пример:

173.201.196.119 - - [27/Sep/2015:08:50:49 +0300] "POST /js/graphics/outlines/gallery.php HTTP/1.0" 200 128 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"

Comments

[riente]

Хм, а почему они вообще должны заливаться? По-моему это просто POST-запрос к файлу gallery.php

[choodo]

riente: может быть. Я не спец, поэтому спрашиваю здесь. Единственное, что связано с gallery.php, в логах было это. предположил, что залито через POST

Answer 1

[metajiji]

Если есть сомнения в движке или что вы там используете, а править код нет возможности, то можно принять простые меры:
1. выставить chmod на каталоги 755 и файлы 644, а если имеются каталоги для загрузок, то только там 777.
2. Потратить немного времени и составить список всех php скриптов, которые вызываются напрямую и в конфиге nginx разрешить эти локейшены обрабатывать как php скрипты, а на все остальные php локейшены выдавать 403.
3. для большей "паранои" аплоад каталоги можно отслеживать через fail2ban и банить при первой же попытке вызвать оттуда любой php скрипт (ведь там могут быть только картинки/файлы, но никак не php файлы).

Я проделывал подобное в нескольких местах (стояла joomla 1.2) и у атакующих резко снижался интерес к такому сайту.

Answer 2

[Назар Мокринский]

Не нужно их защищать от POST запросов.
И заливать файлы можно другими способами.
Вы код исправьте, если файлы реально заливаются (то есть дыру свою залатайте), директория тут ни в чём не виновата.
Если файлы не загружаются - то в чём проблема?

Comments

[choodo]

код в gallery? Этого файла вообще не должно там быть

[Назар Мокринский]

choodo: Код, которые позволил этому файлу туда попасть. Директория тут ни при чём, как и POST.

[choodo]

Назар Мокринский: я вас не понимаю