我想知道是否有可能通过.htaccess禁止上传包含文件名中某些字符的文件?
你要问的第一个问题是“你为什么要这样做?”。
最近,我注意到我的CentOS根级/ tmp文件夹中的文件数量越来越多,与phpf98s76hfsd一样(所有文件都以php为前缀)。这些是通过许多旧的Joomla安装上传的 - v1.0.x,v1.5.x甚至2.5.x.
这些黑客攻击机器人攻击的目的是将文件上传到Joomla图像文件夹,然后使用.php扩展名重命名并运行它们。这些文件中的每一个都是对服务器进行各种恶意破解的黑客变种。
我已经采取措施阻止所有这些Joomla安装中images文件夹中的任何.php执行,所以从所有意图和目的来看,这些安装都是安全的。
但是,机器人仍然日复一日地将数十个这些文件上传到/ tmp文件夹,这有点令人讨厌。它占用带宽,我也不时要清除它们。
最好的解决方案是用最新版本替换Joomla安装,从而解决这个问题。然而,这将涉及许多小时的无偿工作 - 可以理解的是,客户不想为没有给他们任何东西的东西买单,而削减它们将意味着失去收入。
我已经按照几个网站上的建议采取了修复措施来阻止这个“漏洞”,但是,/ tmp中的这些文件仍在继续。
因此,需要一个严格但可行的解决方案,即在更权威的级别上阻止上传,直到我可以让人们支付升级费用,或者我咬紧牙关并免费使用它们。
甚至不确定.htaccess语句是否适用于此处? 它可能必须是root / tmp级别的东西而不是......
任何建议表示赞赏!