upload per .htaccess verhindern
 

hallo,

vor kurzem wurde über ein cms, das ich für eine website verwendet hatte, ein phishing versuch gestartet (über ein sicherheitsleck im cms ...). in den emails war ein link auf den images-ordner auf unserem webserver.
es wurde ein ordner im images-ordner erstellt, darin war ein php-file (mit paypal-layout) und formularfeldern, in die der user seine paypal daten neu eintragen hätte sollen.

meine fragen:

1. wie kann ich per .htaccess verhindern, dass irgendjemand (ausser ich per ftp) in einem bestimmten ordner einen ordner erstellen kann.

2. wie kann ich per .htaccess verhindern, dass irgendjemand in einen bestimmten ordner ein file uploaden kann, das kein image ist (also alles ausser jpg, png, gif, ...) ?

3. wie kann ich per .htaccess verhindern, dass irgendjemand in einen bestimmten ordner eine eigene .htaccess uploadet und somit meine überschreibt.

wär super, wenn ihr mit beispielen dienen könnt.

danke, webmark487

AW: upload per .htaccess verhindern
 

Setze die Verzeichnis- bzw. Dateirechte so, dass nur der FTP-Benutzer Schreibzugriff hat.

Gar nicht, da die Speicherung der Dateien wohl von anderen Skripten vorgenommen wird und diese über das Dateisystem und nicht HTTP Schreibzugriff haben, greifen htaccess-Dateien an dieser Stelle nicht.

Gar nicht, s.o.

AW: upload per .htaccess verhindern
 

Tipp: Kapsel die UploadFolder von der eigentlichen Seite, setze wie bereits gesagt die Schreibrechte, prüfe zumindest dem MimeTyp und die Dateiendung einer Datei, benenne die Datei beim Upload um zb datum+random-zahl.
Ich glaub du kannst auch die Parser für bestimmte Verzeichnisse ausschalten (bin mir aber nicht sicher), bzw. lade die Dateien einfach in einen Folder außerhalbs des htdocs/publics hoch.