티스토리 뷰
파일 업로드 기능을 제공할 경우 웹쉘 공격을 당할 가능성이 언제나 열려 있습니다.
막는다고 이것저것 해봐도 누군가가 교묘하게 조작한 파일을 업로드하면 뚫려버리기 일쑤죠.
만약 업로드한 파일들을 따로 모아두는 폴더가 있다면
해당 폴더내에 .htaccess 파일을 만들어서 아래의 내용을 입력해 보세요.
해당 폴더내에서 PHP, CGI 등을 실행하지 못하도록 막아줍니다.
물론 다른 경로를 통해 include시키는 등의 복잡한 공격은 따로 또 막으셔야겠지만,
업로드 폴더의 파일명을 직접 주소창에 적어서 웹쉘을 실행하는 가장 흔한 공격 방식은
이것만으로도 원천봉쇄가 됩니다.
[.htaccesss 파일 추가]
Options -ExecCGI
RemoveHandler .php .php3 .php4 .php5 .phtml .pl .cgi .htm .html
RemoveType .php .php3 .php4 .php5 .phtml .pl .cgi .htm .html
DefaultType application/octet-stream
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
'리눅스 웹서버' 카테고리의 다른 글
| PHP 5.3X 버전 이후 phpinfo.php 가 안보일때 (8) | 2013.04.06 |
|---|---|
| PROFTPD 1.3.2버전 (0) | 2013.04.06 |
| 리눅스 아파치 apr_sockaddr_info_get() failed 에러발생시 해결법 (0) | 2013.01.18 |
| syn 관련 (0) | 2013.01.01 |
| 리눅스 특정포트만열기 iptables (1) | 2012.12.30 |
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
링크
TAG
- cron백업
- 곰거리
- 무한카트리지
- 레고르245
- 웨버57
- 웹서버
- 리눅스자동백업
- TX113
- 바비큐클럽
- 1번가호스팅
- 바비큐타운
- 곰국
- 내서버
- FSP60APN
- 사골국
- 리눅스
- 석류자르기
- mysql크론
- SYN_Flooding
- 크론백업
- 서버조립
- 웰본마트
- 곰국끓이기
- TX110
- 석류먹기
- DB크론백업
- MYSQL백업
- MSI785GTM
- 웨버매니아
- FSP
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
글 보관함