我从服务器上获取了一块logwatch,
/?page = / .. / .. / .. / .. / .. / .. / .. / etc / passwd HTTP Response 200 /?mod=../../../../../../../proc/self/environ%2500%2520HTTP/1.1%2522%2520200%25203427%2520%2522-%2522% 2520%2522%253℃%3fphp%2520system%28 \%2522id \%2522%29%3B%2520%3F%253E HTTP响应200 /?file=../../../../../../proc/self/environ%00 HTTP 回应200
为了避免这些请求,我在apache上安装了mod_security,但这些请求仍然是显示相同请求被回复的日志。 我怎么能否认这些要求?
答案 0 :(得分:1)
我希望我的问题是对的。
在Apache配置中包含以下代码:
<Directory />
Options None
Order deny,allow
Deny from all
</Directory>
它阻止每个人访问您服务器上的文件,除非您为此规则明确配置其他目录的例外(您仍然希望其他人访问您的网站内容,例如。)。
我不知道你在哪个操作系统上使用的是哪个版本的Apace,所以我无法确切地告诉你你要把它放在哪里。通常它是Apache最基本配置的一部分。
如果Apache安装允许这类请求似乎非常不安全,那么这里是some more tips to secure your Apache。