谈谈网站安全性的问题

简介:

   刚入职没多长时间,网站一直有人上传木马,基本网站一直处在被人攻击的状态,纠结阿。一直忙着解决这问题了。今天好不容易有些成就,就拿出来和大家分享一下,如果大家有什么好的方法,可以教教我.这两天为了这事儿头疼死了.

   网站现在大体的情况是dede+smarty开发的博客系统+dz,百度和谷歌的权重都在5左右,所以访问量还是比较大的。

   dede公认的漏洞比较多,而且接手的这个dede还二次开发过。所以短时间内找漏洞是不太可能了,如果有朋友之类的话,可以让他们一起检测,毕竟一个人太麻烦了,或者加我QQ2387813033

   1.网站目录安全性

       1>所有的目录可以设置777权限,css和images文件,css可以设置读写权限,不给执行权限,css经常改的话给写权限,图片文件只给读的权限就可以了,去掉所有不用经常改的PHP文件写入权限,不给任何攻击者将代码写入php中的机会

       2>经常扫描是否有特殊后缀或者新被上传的文件,看源码,尤其是inc后缀的

   2.网站安全检测    

       1>360网站安全检测,这个还是比较好使的,不过360有没有其他的想法就不知道了,哈哈检测完了有修复的提示。

       2>自己写一个检测网站木马文件的脚本,网上也有,他本身就是木马,找一个没有后门之类的,上传上去,自己检测。这个还是非常不错的。看清楚源码以后删除木马文件。

       3>使用DOMAIN3.5之类的上传注入软件自己测试一下网站。

   3.修改服务器配置增加安全性

       1>在apache配置文件中禁止一些目录执行php文件的权限,比如uploads/,html/等。下面是一个例子:


1
2
3
4
5
6
<Directory  "/usr/local/apache2/htdocs/uploads" >
<Files ~  ".php" >
Order allow,deny
Deny from all
</Files>
</Directory>

       2>有些不希望别人访问的目录也直接禁止掉。

       3>修改php.ini的disable_functions添加禁止的函数,如

1
system, exec ,shell_exec, passthru ,proc_open,proc_close, proc_get_status, checkdnsrr , getmxrr , getservbyname , getservbyport , syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname


   4.其他方式

       1.打补丁,尤其是坑爹的dede

       2。经常修改服务器的帐号密码,ftp帐号密码,最好用sftp

       3.最好把dede后台的文件管理器关闭,还有dede数据库备份还原。以及文章里的图片上传之类的全部做过滤,禁止上传其他格式,尤其是php格式的文件。

       4.对linux服务器不是特别懂,所以就先不说这个了。以后学成了再和大家讨论










本文转自 3147972 51CTO博客,原文链接:http://blog.51cto.com/a3147972/1280901,如需转载请自行联系原作者
目录
相关文章
|
6月前
|
安全 Java 应用服务中间件
网络安全的护城河:漏洞防御与加密技术深入浅出Java并发编程
【8月更文挑战第31天】在数字世界的棋盘上,每一次点击都可能是一步棋。网络安全的战场无声却激烈,漏洞如同裂缝中的风,悄无声息地侵袭着数据的堡垒。本文将揭示网络漏洞的隐蔽角落,探讨如何通过加密技术筑起防线,同时提升个人和组织的安全意识,共同守护我们的数字家园。
|
9月前
|
XML 安全 网络安全
渗透测试初级面试题
答:.先爆破用户名,再利用被爆破出来的用户名爆破密码;其实有些站点,在登 陆处也会这样提示;所有和数据库有交互的地方都有可能有注入。 如果你看到了这里,那就点个关注+评论呗! 如需资料可私信,回复不及时,请见谅! 网安面经,试题,题库,需要哪个评论区私信
|
9月前
|
安全 应用服务中间件 网络安全
渗透测试工程师面试题大全
渗透测试工程师面试题大全
185 3
|
存储 XML 安全
渗透测试-面试题目大全
2022渗透测试-面试题目大全
渗透测试-面试题目大全
|
网络安全
渗透测试面试题整理
渗透测试面试题整理
937 0
|
安全 网络安全
网站安全该如何做?怎么样才能防止被攻击
作为一名网络安全工程师,“网站安全”这个词似乎离生活有些遥远,平日里很多人开启计算机最多就是登录网站、浏览网站,至于网站安不安全,却从未关注过。近些年来,网络安全相关话题已经引起了社会的广泛关注,还记得去年暑期大火的偶像连续剧《亲爱的热爱的》讲述了男主希望为中国拿下CTF大赛冠军的梦想之路,CTF在网络安全领域中指的是网络安全技术人员之间进行技术比拼的一种比赛形式,当然,这部剧的成功之处更在于让许多年轻人对网络安全领域产生了兴趣,笔就是其中一员。本文旨在从一名网络安全工程师的角度,用更加通俗易懂的话语,介绍网站安全的相关知识。
244 0
网站安全该如何做?怎么样才能防止被攻击
|
SQL 安全 前端开发
渗透测试公司实战注入攻击拿下客户网站
近来,利用sql注入、xss和文件上传漏洞,成功getshell的一个客户网站(必须要拿到客户授权渗透测试许可证明才可以,不得违法入侵),这里简单记录一下整个过程,与大家分享。收集信息,查找漏洞。第一步就是进行信息收集,经过一轮的收集,发现这个网站租的是香港的服务器,没有waf文件;从网站的界面看,这个网站是用cms搭建的,搭建的环境是Iis10.0+php,同时通过目录扫描工具发现了一些网站的目录,但没有找到后台登录地址(这肯定是网站管理员隐藏了后台的地址)。
283 0
渗透测试公司实战注入攻击拿下客户网站
|
安全 搜索推荐 JavaScript
新手站长 如何防范网站被黑客攻击
网站安全一直以来都是各大网站运营者们比较关注的难题,一个网站平台,要是没有一种安全防护的系统环境,做得再强,也没什么价值,如果遇到被黑客攻击,损失就会非常大。因此,学好如何防范不被黑客攻击,维护好自个儿的网站,是必需的条件。
412 0
新手站长 如何防范网站被黑客攻击