PHP backdoor - zabezpieczenie formularza/katalogu Opcje

[bor1904]

Witam serdecznie,
Chciałbym się poradzić mądrych glów tego forum jak zapobiec kolejnemu atakowi na swój portal.

Kilka dni temu pewien żartowniś podmienił mi plik index.php na swój co zrobił wykorzystując niewielki skrypt php typu backdoor.

To portal na joomli w którym jest dodatek garys cookbook za pomocą którego można dodawać przepisy kulinarne ze zdjęciami. Wygląda to tak jakby ten haker poprostu zamiast wskazania pliku ze zdjęciem wstawił plik .php (wskazuje na to lokalizacja i format nazwy pliku). Ja jednak nie jestem w stanie tak zrobić.... pokazuje "błędny plik obrazka i sie nie zapisuje skrypt na serwerze...


Ktoś ma jakieś pomysły jak to dobrze zabezpieczyć? jakiś filtr? przepisywanie rozszerzeń? ochrona jakoś przez htaccess?

każda wskazówka się przyda... pozdrawiam i dzieki z góry

[acidm]

Można sprawdzać czy plik jest obrazkiem przez getimagesize() ,oprócz tego oczywiście standardowa walidacja.
Przeczytaj ten wątek może pomoże http://forum.php.pl/index.php?showtopic=93769

ps jesli ten dodatek includuje (IMG:style_emoticons/default/biggrin.gif) obrazki to ten art może zobrazować problem http://php.webtutor.pl/pl/2011/04/11/code-...w-obrazku-jpeg/

Ten post edytował acidm 4.01.2013, 23:12:36

[Fluke]

Słyszałem, że też dobrą metodą jest użycie funkcji imagejpeg, imagepng, imagegif...
Nie wiem czy dobrze pamiętam, ale one usuwają linie, bity, które nie opisują obrazka.

Pozdrawiam.

[pyro]

http://forum.php.pl/index.php?showtopic=210582&hl=