Foros del Web » Administración de Sistemas » Apache »

Evitar ejecución PHP en una carpeta concreta

Estas en el tema de Evitar ejecución PHP en una carpeta concreta en el foro de Apache en Foros del Web. Hola, Recientemente he sufrido un ataque en el que me han subido un exploit a una carpeta y luego lo han podido ejecutar. Esta carpeta ...
  #1 (permalink)  
Antiguo 11/05/2009, 14:56
 
Fecha de Ingreso: noviembre-2008
Mensajes: 17
Antigüedad: 16 años
Puntos: 0
Evitar ejecución PHP en una carpeta concreta

Hola,

Recientemente he sufrido un ataque en el que me han subido un exploit a una carpeta y luego lo han podido ejecutar. Esta carpeta se utiliza únicamente para tener almacenados los archivos (.jpg, .png, pdf...) que los usuarios suben desde la web.

En esa carpeta tengo un .htaccess con la directiva:
Options -ExecCGI

¿Qué directiva tengo que añadir para que no puedan ejecutar php en esta carpeta?

Un saludo y gracias
  #2 (permalink)  
Antiguo 11/05/2009, 16:05
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 3 meses
Puntos: 2237
Respuesta: Evitar ejecución PHP en una carpeta concreta

La solucion mas adecuada es verificar que los archivos subidos sean del tipo que esperas, por lo menos, que tengan una extension permitida, asi no podran ejecutarlos a menos que tengas otros problemas de seguridad en tu web.
__________________
- León, Guanajuato
- GV-Foto
  #3 (permalink)  
Antiguo 11/05/2009, 16:16
 
Fecha de Ingreso: noviembre-2008
Mensajes: 17
Antigüedad: 16 años
Puntos: 0
Respuesta: Evitar ejecución PHP en una carpeta concreta

El problema es que os archivos los han subido directamente a través de algún bug, o algún otro método directamente al servidor, saltándose la verificación del gestor de contenidos. Una vez subidos los han podido ejecutar y seguir escalando permisos y directorios.

Es por ello que queria evitar la ejecución de código php, con la idea de prevenir futuros ataques.

Saludos y gracias
  #4 (permalink)  
Antiguo 11/05/2009, 17:38
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 18 años, 6 meses
Puntos: 2135
Respuesta: Evitar ejecución PHP en una carpeta concreta

Tema trasladado desde PHP
  #5 (permalink)  
Antiguo 24/08/2011, 00:07
Avatar de Masterphp  
Fecha de Ingreso: septiembre-2009
Ubicación: /home/php/
Mensajes: 94
Antigüedad: 15 años, 2 meses
Puntos: 3
Respuesta: Evitar ejecución PHP en una carpeta concreta

Por favor alguien sabe que directiva puedo añadir en htaccess tengo el mismo problema.
  #6 (permalink)  
Antiguo 01/10/2011, 05:51
Avatar de Lecquio  
Fecha de Ingreso: mayo-2004
Ubicación: Asturias, España
Mensajes: 948
Antigüedad: 20 años, 6 meses
Puntos: 34
Respuesta: Evitar ejecución PHP en una carpeta concreta

Masterphp prueba esto:
http://www.igorgarcia.es/blog/impedir-php-carpeta
  #7 (permalink)  
Antiguo 03/10/2011, 15:26
Avatar de emprear
Colaborador
 
Fecha de Ingreso: junio-2007
Ubicación: me mudé
Mensajes: 8.388
Antigüedad: 17 años, 5 meses
Puntos: 1567
Respuesta: Evitar ejecución PHP en una carpeta concreta

Un poco viejo el post original, pero vale una aclaración

Si php está instalado como CGI ó FastCGI, con la directiva

Código Apache:
Ver original
  1. -ExecCcgi

es suficiente

Ahora que si está instalado como módulo de Apache, necesitas

Código Apache:
Ver original
  1. php_value engine off

Saludos
__________________
La voz de las antenas va, sustituyendo a Dios.
Cuando finalice la mutación, nueva edad media habrá
S.R.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:10.