我负责维护一个 LAMP 网络服务器,该服务器已经被一些从未听说过 SQL 注入、CSRF 或类似主题的 PHP 程序员利用。这些 PHP 脚本应该用于将图像上传到多个全球可写的目录。当然,它们也可用于上传 PHP 脚本,如 Web Shell。
是否存在一个 Apache 模块或指令,可以关闭遇到的任何可由 Apache 写入的目录的 PHP 引擎?
safe_mode 虽然很丑陋,但已在相关网站上启用。但除此之外,我拒绝承担审核或触碰这些恶劣的 PHP 脚本的任何一行的责任。
答案1
最简单的方法是将php_flag engine off.htaccess 文件放入该目录中。只有 php 4.0.5 或更高版本才支持“engine”指令。
您也可以尝试使用 .htaccess(例如)删除 apache 中的处理程序RemoveHandler .php,但我会先尝试另一种方法。删除处理程序是那些有时会适得其反的“强制中断”方法之一。