谈谈网站安全性的问题

刚入职没多长时间,网站一直有人上传木马,基本网站一直处在被人攻击的状态,纠结阿。一直忙着解决这问题了。今天好不容易有些成就,就拿出来和大家分享一下,如果大家有什么好的方法,可以教教我.这两天为了这事儿头疼死了.

网站现在大体的情况是dede+smarty开发的博客系统+dz,百度和谷歌的权重都在5左右,所以访问量还是比较大的。

dede公认的漏洞比较多,而且接手的这个dede还二次开发过。所以短时间内找漏洞是不太可能了,如果有朋友之类的话,可以让他们一起检测,毕竟一个人太麻烦了,或者加我QQ2387813033

1.网站目录安全性

1>所有的目录可以设置777权限,css和images文件,css可以设置读写权限,不给执行权限,css经常改的话给写权限,图片文件只给读的权限就可以了,去掉所有不用经常改的PHP文件写入权限,不给任何攻击者将代码写入php中的机会

2>经常扫描是否有特殊后缀或者新被上传的文件,看源码,尤其是inc后缀的

2.网站安全检测

1>360网站安全检测,这个还是比较好使的,不过360有没有其他的想法就不知道了,哈哈检测完了有修复的提示。

2>自己写一个检测网站木马文件的脚本,网上也有,他本身就是木马,找一个没有后门之类的,上传上去,自己检测。这个还是非常不错的。看清楚源码以后删除木马文件。

3>使用DOMAIN3.5之类的上传注入软件自己测试一下网站。

3.修改服务器配置增加安全性

1>在apache配置文件中禁止一些目录执行php文件的权限,比如uploads/,html/等。下面是一个例子:

双击代码全选

1

2

3

4

5

6


<Directory "/usr/local/apache2/htdocs/uploads">

<Files ~ ".php">

Order allow,deny

Deny from all

</Files>

</Directory>

2>有些不希望别人访问的目录也直接禁止掉。

3>修改php.ini的disable_functions添加禁止的函数,如

system,exec,shell_exec,passthru,proc_open,proc_close, proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname

4.其他方式

1.打补丁,尤其是坑爹的dede

2。经常修改服务器的帐号密码,ftp帐号密码,最好用sftp

3.最好把dede后台的文件管理器关闭,还有dede数据库备份还原。以及文章里的图片上传之类的全部做过滤,禁止上传其他格式,尤其是php格式的文件。

4.对linux服务器不是特别懂,所以就先不说这个了。以后学成了再和大家讨论

(0)

相关推荐

  • 如何加强网站安全性

    随着黑客的增多和利益驱使,越来越多的站点面临严重的安全问题,那么要如何加强网站安全性,下面笔者根据自己的经验来具体说说,希望对大家有所帮助. 操作方法 01 加强空间或服务器的安全 空间与服务器是站点 ...

  • 如何鉴别网站安全性 如何使用网站照妖镜功能

    我们在使用互联网浏览一些网站的时候,经常会遇到一些假网站或者劣质网站,这些网站不安全从而导致电脑感染一些病毒等情况,这是我们每个人都需要注意的事情,所以,我们要学会如何去鉴别网站的安全性,做到不安全的 ...

  • Windows 2003服务器IIS站点安全性和稳定性

    今天我讲更深入一些,谈谈网站安全性和稳定性。对于很多接触过Linux和Windows的朋友,对比Linux的apache来说,应该很清楚IIS是很不稳定了。什么死循环、堆栈溢出等问题一出现IIS就挂掉 ...

  • 网站基础之网站降权如何去寻找原因与对策

    对于网站被降权,大部分站长都遇到过,不管降得历不历害,总会出现一些由于自身网站原因或者是意外因素导致降权的.而在降权后,站长第一时间不是以郁闷和消极的心态对待,分析被降权的原因,找出解决的方法才是最有 ...

  • 怎么突破安全狗和360网站卫士的

    前几天朋友让我帮他检测下他的网站安全性,网站发来一看.哇靠,又是安全狗,又是360网站卫士,这可怎好. 首先是找到一个可以填写意见反馈的地方,XSS搞到后台管理COOKIE,这里不截图了.后台有个FC ...

  • 怎么检查网站是否安全(怎样看网站是否安全)

    并非所有网站都可以安全访问.事实上,某些网站可能包含恶意软件(恶意软件),可能会损害您的计算机或窃取您的个人联系信息或信用卡号.网络钓鱼是另一种常见的基于 Web 的攻击类型,诈骗者试图诱骗您向他们提 ...

  • Chrome显示“与此网站连接不安全”,怎么解决?

    Chrome 浏览器显示"网站连接不安全",这可能是您最近访问网站时经常遇到的问题,浏览器地址栏中域名前面显示圆圈i图标和"不安全"字样,点击这个字样,就会看到 ...

  • 怎样编写网站建设规划书

    建设网站优化网站,首先都要编写规划书,使得该网站建立的结构明确,合理,准确,翔实的内容,页面清晰,明亮,网站优化规划书是一个网站的成功与否与的关键点.亿玛客重点讲过,要在建立网站前应明确建设网站的目的 ...

  • 网站设计方案

    网站设计方案是一项比较专业的工作,包括了解客户需求,客户评估.网站功能设计.网站结构规划.页面设计.内容编辑,撰写"网站功能需求分析报告",提供网站系统硬件和软件配置方案,建站程序 ...