Disable Eksekusi File PHP di Direktori Website Server Apache
Sebenernya ini trik lama sih, buat arsip pribadi aja. Berhubung sering keluar masuk web orang tentu juga harus tau cara biar web sendiri gak dimasukin orang. Jadi biasanya kalo hacker bisa menembus halaman admin sebuah website, mereka akan mengupload backddoor berupa file .php di web kita sebagai akses masuk mereka.
Dan mas mas hacker biasa nya juga cukup pinter kok, kalo aggal upload file .php biasanya doi ganti ekstensi nya jadi .phtml , atau kalo mentok ya minimal upload file .html atau .txt ssebagai tanya kalo doi berhasil masuk ke web korban. Ada cara mencegah nya ?
Ada lah pasti. Sebagai contoh ane ambil cms wordpress. Nah, direktori /uploads/ biasa nya yang sering jadi sasaran. Kalo pengen tau cara upload shell di wp, baca disini :
Bypass Upload Shell di Wordpress
Kita bisa mencegah agar file backdoor tersebut gagal dieksekusi.
Cara nya ?
buat file .htaccess di folder /uploads/ *folder silahkan tentuin sendiri. Isi nya :
Saya coba testing di cpanel sendiri . :v Disitu ada file .htaccess yang isi nya seperti di atas.
lalu ada file lol.php. Kita lihat apa yang terjadi jika file lol.php tadi dibuka.
Sekian tutor kali ini dan semoga bermanfaat :D
Dan mas mas hacker biasa nya juga cukup pinter kok, kalo aggal upload file .php biasanya doi ganti ekstensi nya jadi .phtml , atau kalo mentok ya minimal upload file .html atau .txt ssebagai tanya kalo doi berhasil masuk ke web korban. Ada cara mencegah nya ?
Ada lah pasti. Sebagai contoh ane ambil cms wordpress. Nah, direktori /uploads/ biasa nya yang sering jadi sasaran. Kalo pengen tau cara upload shell di wp, baca disini :
Bypass Upload Shell di Wordpress
Kita bisa mencegah agar file backdoor tersebut gagal dieksekusi.
Cara nya ?
buat file .htaccess di folder /uploads/ *folder silahkan tentuin sendiri. Isi nya :
<FilesMatch "(?i)\.(php|php3?|phtml|html|txt)$"> Order Deny,Allow Deny from All </FilesMatch>Liat ss dibawah :
 |
| htaccess security |
lalu ada file lol.php. Kita lihat apa yang terjadi jika file lol.php tadi dibuka.
 |
| Folder Protected |
Sekian tutor kali ini dan semoga bermanfaat :D
Posting Komentar untuk "Disable Eksekusi File PHP di Direktori Website Server Apache"
Posting Komentar
Silahkan tinggalkan komentar jika ada masukan, pertanyaan, kritik ataupun dukungan. Namun pastikan untuk berkomentar secara sopan.