Kann einer der unten aufgeführten Dateitypen einen Virus ausführen oder den Server in irgendeiner Weise schädigen?
pdf, .png, .jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .gif.
Antworten
Zu viele Anzeigen?
Die Frage selbst hat keinen Grund zu sein wie die bisher gegebenen Antworten (es tut mir leid, das zu sagen). Verstehen Sie das alles nicht als Kritik: Ich erkläre mich selbst.
Sie können sogar hochladen TheWorstVirusInTheWorld.exe auf Ihrem Server, aber sie ist erst dann schädlich, wenn sie tatsächlich ausgeführt wird. Sofern das Betriebssystem und/oder seine Shell oder andere Programme (oder Skripte) keine schwerwiegenden Fehler aufweisen, wird kein Code ausgeführt automagisch im Sinne von "ohne Wissen des Systemadministrators".
Siehe virustotal.com. Dort werden Sie aufgefordert, verdächtige ausführbare Dateien hochzuladen, um festzustellen, ob es sich um Viren handelt oder nicht. Haben sie Angst davor? Auf keinen Fall. Das liegt daran, dass die Datei auf den Server hochgeladen wird, und dann lesen durch ein Tool, das man als "Antivirus" bezeichnen kann und das sie nicht ausführt.
Die Frage kann also so lauten: "Welche Arten von Dateien können sicher ausgeführt auf meinem Server?" Die Antwort lautet: keine Dateien, die aus unbekannten Quellen stammen. Die Dateierweiterung ist völlig unerheblich: Auf UNIX-Systemen können Sie jede Datei (auch .doc), bei der das Ausführungsbit (=Attribut) gesetzt ist.
Hacker und Betrüger werden sich nicht so verhalten, wie Sie es erwarten. Sie laden keine gewöhnlichen Viren auf Ihren Server hoch, und wenn sie es doch tun, müssen sie sie ausführen, und wenn sie sie ausführen können etwas auf Ihrem Server, Nun, Ihr Server ist bereits weg und alle Ihre Bemühungen, Dateierweiterungen zu bereinigen, sind nutzlos.
SIFE
Punkte
5359
@AAA: Der Prozess wird folgendermaßen ablaufen:
1) Der Benutzer lädt eine Datei hoch, beispielsweise test.exe.
2) Wenn sie vom Server empfangen wird, extrahieren Sie die Erweiterung und speichern sie in der Datenbank mit dem Namen der Datei, so dass Sie wissen können, welche Datei eine Erweiterung hat.
3) Wenn ein Benutzer eine Datei anfordert, fragen Sie sowohl die Dateierweiterung als auch den Dateinamen ab, fügen sie zusammen und senden sie schließlich an den Benutzer.
Nota: Wenn Sie ein Problem mit doppelten Namen haben, ist es besser, wenn Sie eine zufällige Zeichenkette fester Länge generieren und sie mit dem Dateinamen am Anfang des Dateinamens als Beispiel einfügen.
donatJ
Punkte
2826
Da dies unter "PHP-Upload" aufgeführt ist, glaube ich, dass er von einer Remote-Exeuktion spricht. Wenn das der Fall ist, sollten sie alle sicher sein. Die übliche Liste der Dinge, die ich blockiere, findet sich in dieser htaccess-Liste hier
<Files ~ "\.(php|php3|php4|php5|phtml|pl|py|psp|js|jsp|cgi|util)$">
Order deny,allow
Deny From All
</Files>
