·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
返回列表 发布新帖

网站安全方面知识点(减少网站被黑)

296 6

马上注册,免费下载更多dz插件网资源。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
如题:最近我看dz插件网有很多小伙伴网站频繁被黑客黑、挂寄生虫黑帽程序等等,这次我就来讲讲安全方面的知识点。其实这种称不上黑客,行业内叫"脚本小子"。

首先你要知道,脚本小子入侵站点无非就是做黑帽seo,你网站有收录有流量,有利用价值,也就成了他的入侵对象。

被Ri最多的CMS:织梦、PHPCMSv9 DZ论坛3.4版本以下 WP博客 帝国 等等...还有一些小众化CMS就不多举例了

上面说的这些CMS程序 在16-20年爆了太多漏洞,不了解的可以自行百度。

1.网站程序
不管你选用任何CMS,一定去官网下载最新版本,其他模板网站的的程序别用,因为,那些版本都是很早以前的,还有可能有后门,被报出来的漏洞根本没有修复,你一旦上线使用,我相信一个刚学的小白,利用百度公布的EXP,构造好。都可以顺秒你的网站。当然也不排除,官网最新版本的程序也有未被爆出来的Oday。

2.服务器
推荐使用linux系统,windows03 08 12 16等服务器,服务器商,默认系统都是没有打补丁的,如果没更新系统补丁的话,提权的几率很高,但不管什么系统,系统补丁一定要全打上。关闭或防火墙限制一些铭感服务端口,如:FTP-21 rsync-873 等等。

3.网站容器
不管你使用apache还是nginx 还是其他,网站运行用户一定要低权限账户去运行。
数据库运行用户也是一样,用降权账户去运行,如果你直接使用system权限去运行,当网站被置入shell,只需要两条系统命令,就可以让你服务器沦陷。降权账户百度教程。这里就不细说了。4友大部分站点都是php程序,那么php的铭感函数也要禁用。修改php.ini:
  1. disable_functions = system,exec,shell_exec,passthru,proc_open,proc_close, proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname,phpinfo
复制代码

4.网站安全
1.网站目录权限控制
图片目录给网站运行用户可写权限,不给php执行权限,其他目录以及文件只给php执行权限,不给可写权限,简单12个字:可写不可执行,可执行不可写。

2.网站后台地址
能设置多复杂就多复杂,可绑定二级域名或者三级域名下,不能分离出来就改目录名字,设置复杂一点,别傻傻把后台地址写在robots.txt里面,入侵者访问的第一个文件就是robots.txt。有编写能力的,后台地址二次验证,限制IP,参数等等

3.后台登录账户密码
设置复杂点,别用常用的密码,有技术手段的通过社工,搞到你密码。一样over。

4.其次就是自己二开或者网站本身就有漏洞的,上传 读取数据或者文件 前台后台交互的点就要严格过滤了,防止被SQL xss SSRF

5.有条件的上第三方防护措施

6.网站被R了,怎么找出问题?
看网站日志文件,确认入侵者的入手点。
如果日志中这带有eval assert exec system等等php函数,多半是exp,如果日志中带有sql查询语句 ,100%注入,然后找出shell是从那个点写入的。
不解决入手点,你再重装系统 恢复多少次备份都没有用,入侵者有钥匙,想进就进。

还有很多就不再继续深入了,说多了也无用,做好这些基础。安全等级也会提高40%。
总来的说,入侵者最终目的就是网站的控制权,能写入文件,或者能执行系统命令进行提权到最高权限。只要把目录权限和系统方面等等的安全控制到位,就算一般的脚本小子进入后台或者有注入点,能Ri下也是有挑战难度的,你要知道牛逼的技术大牛,只会光顾大战 权7 权8那种。
我要说一句 收起回复
创宇盾启航版免费网站防御网站加速服务

评论6

婷姐Lv.8 发表于 2022-4-3 18:55:53 | 查看全部
总结的不错来学习下
我要说一句 收起回复
浅生Lv.8 发表于 2022-4-3 18:56:02 | 查看全部
额,看你发这么多内容,给你点个赞
我要说一句 收起回复
IT618发布Lv.8 发表于 2022-4-3 18:57:00 | 查看全部
这个才是干货啊!网络安全还是需要多了解和收藏一些的
我要说一句 收起回复
婷姐Lv.8 发表于 2022-4-3 18:57:26 | 查看全部
一直裸奔,反正没流量
我要说一句 收起回复
婷姐Lv.8 发表于 2022-4-3 18:57:33 | 查看全部
宝塔默认www用户运行
我要说一句 收起回复
CrystαlLv.8 发表于 2022-4-3 18:58:19 | 查看全部
干货满满
我要说一句 收起回复

回复

 懒得打字嘛,点击右侧快捷回复【查看最新发布】   【应用商城享更多资源】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.116.47.235,GMT+8, 2024-12-19 07:15 , Processed in 0.288132 second(s), 112 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯 在本版发帖
扫一扫添加微信客服
QQ客服返回顶部
快速回复 返回顶部 返回列表