Permissões de Pastas [Gravar SOMENTE por FTP. Por HTTP, só leitura]

[Visitante]

Olá pessoal. Problema bem simples, mas infelizmente não achei solução em pesquisas convencionais.

 

Quero que uma pasta, em meu servidor de HOSPEDAGEM WEB - (Hostgator - Linux), permita apenas gravação via Cliente FTP(Filezilla por exemplo). E proíba qualquer tipo de gravação/alteração de arquivos via HTTP(Uploads, por exemplo). Acredito que seja necessário apenas aplicar um certo código de permissão de arquivo, mas infelizmente eu não sei esse código.

[Leandro de Jesus 5]

Uma alternativa é deixar a pasta com permissão 644 assim não vai conseguir subir arquivos via código.

Só se o script inserir permissão automaticamente.

 

[magno barbosa 49]

Olá, basta você acessar a opção gerenciador de usuários no CPanel, e criar um novo usuário apenas com acesso FTP, na opção disco web marque apenas leitura.

 

[Visitante]

Em 2017-5-20 at 12:43, magno barbosa disse:

Olá, basta você acessar a opção gerenciador de usuários no CPanel, e criar um novo usuário apenas com acesso FTP, na opção disco web marque apenas leitura.

 

Se não houver permissões HTTP, ninguém consegue acessar o site. O que eu precisava mesmo era o código que permite que internautas acessem o site, mas não consigam listar diretórios e também que nenhum script(nem mesmo os do próprio site) consiga "injetar arquivos" na raiz do site (apenas na pasta /imagens, será permitido).

A permissão 644, que o Leandro de Jesus sugeriu BLOQUEIA TODO O SITE, não abre nenhuma página.

A melhor que eu encontrei, para o servidor HOSTGATOR, foi a permissão 751 (Todos podem EXECUTAR, Somente o grupo e o Root podem LER, e Apenas o Root pode gravar.

Isso permitiu abrir o site NORMALMENTE, e IMPEDE que as pastas sejam LISTADAS. Mas ainda não testei se também impede que um script PHP do próprio site INSIRA arquivos dentro da raiz do site.

 

Estou tendo problemas de segurança. Não sei de que forma, mas ALGUÉM está conseguindo SOBREPOR meus arquivos e prejudicando minha imagem perante os meus clientes. Desconfio que sejam concorrentes.

Além de sobrepor o índice, eles colocam um arquivo chamado "d.php", que altera o conteúdo das imagens do site. Também colocam uma arquivo de nome "GOD.htm", entre outros.

 

Não sei como fazem isso (MySQL INJECTION ??? PHP INJECTION ??? Javascript ???). Mas fazem.

 

Por isso estou procurando uma maneira que o servidor rejeite qualquer gravação, inclusive do próprio site, EXCETO, é claro, na pasta FOTOS/IMAGENS que é  o único local onde meus clientes precisam SUBIR arquivos de seus produtos. Até porque, se os "malandros" colocarem lá scripts(php,htm,html), não servirão para nada.

 

Isso seria uma solução provisória até que eu consiga entender onde está a falha de segurança nos meus PHPs.

[magno barbosa 49]

Olá, então a sua questão é mais complexa do que pensa, e nesse caso precisa matar o mau pela raiz, vamos lá:

 

1° Escaneie o site usando : https://sitecheck.sucuri.net/;

2° Remova os arquivos apontados pela aplicação;

3° Notifique os erros via chamado para o Host e implemente as correções sugeridas.

 

Abraço.