Deface - PHP include()/require() удаленных серверов.
 

Есть вопрос. Один из наших клиентов был взломан через старую версию PHP Nuke.

Понятно, версию мы обновили, но вопрос остался открытым.

Как запретить PHP делать include/require удаленных страниц? Т.е. чтобы локальные файлы можно было инклудить, а http/ftp/etc. - нет.

Есть ли что-нибудь для этого?

Спасибо!

Думаю, отключение allow_url_fopen должно помочь.

Это убьет функциональность большей части скриптов... особенно биллинговых.

А есть еще идеи?

Думаю в данной ситуации лучше для контекста данной оболочки, либо задать ограничения для данных врапперов, либо, просто переопределить их (например для уведомления о таких попытках), смотрите
http://www.php.net/manual/ru/functio...set-option.php
http://www.php.net/manual/ru/functio...r-register.php
ну и вообще раздел:
http://www.php.net/manual/ru/ref.stream.php

Даже вот так сразу - "большей части"? А биллинги ... незнаю, конечно. Можно и fopen, но обычно используется fsockopen или curl.

Попробуйте зафильтровать (через iptables например) все исходящие http соединения php, разрешив лишь узкий список доверенных или биллинг-серверов.

Именно так, "большей части". На хостинг сервере так оно и есть.

Идея в целом неплохая, но нам хватает своих внутренних правил на отсылку почты - это уже гемора добавляет с занесением с белый список и воплями юзеров... Если сюда еще и приписать соединения для php - можно будет вешаться ;)

Может можно php пропатчить где?.. Мы его все равно руками собираем...