webshell,禁止你执行

    做了那么多渗透测试,关于拿webshell的方法算是知道了不少。现在回过头看看自己的站,是不是也要增加点防御措施呢?实话说,如果有emlog后台的话传webshell应该不成问题,保护后台最简单的方法就是设置一个复杂的密码,md5破解不了黑客也束手无策。

    其实最危险的地方是我们自己,像我这种爱折腾的人喜欢在网站上传一些不同人写的程序,比如图床,而且不会去看这些脚本有没有漏洞。最后导致黑客拿到webshell。

    所以如果关键目录可以不让它执行脚本(比如upfile目录),那么木马传上来也不能执行,岂不是乐哉~~(笑)

    于是乎修改.htaccess文件:在需要保护的目录下上传如下.htaccess:

<Files ~ ".php">
Order allow,deny
Deny from all
</Files>

    比较简单地禁止了目录运行php文件。其实最保险的措施是在Apache配置文件中修改,但虚拟主机用户似乎没有权限。

    这样,webshell传上去打开,会提示404错误。你可以试试http://leavesongs.tk/tools/favicon/temp/webshell.php

    点击查看原图

赞赏

喜欢这篇文章?打赏1元

评论

Drift 回复

P牛,如果是上传了一个.htaccess文件改掉了规则,可以执行php的webshell吗

phithon 回复

@Drift 可以

urnotxm 回复

强迫症表示:文件名是.htaccess

phithon 回复

@urnotxm:感谢,已经修改

卫生杀虫剂 回复

原来可以这样搞啊

邪恶漫画 回复

看上去倒是简单得很

captcha