用DEDECMS搭建网站的安全篇:默认模板路径漏洞
吧,我就是搞网页设计的,没有进过任何培训班,今年毕业刚出来。大学学的物理专业,网页设计全是在大学自己自学的。做网站分好几个方向,1是程序员,专门写后台的,2是页面设计,又包括美工人员和排版人员。
一般做个站都是先由策划订出方案,例如要什么样的风格,功能(例如投票,留言等),再由美工画出样板网页(用PS画),修改通过后交给排版人员用friewoks和dreamweaver把切成网页,再由后台编程人员给出接口(例如文章调用,会员登录等),由排版人员将静态页面和后台程序整合。最后测试,没有BUG通过就行了。
当然,上面的流程是我出来工作了才知道的,因为一个人不可能样样精通直接完成一个网站的所有工序,所以分工才那么细化,因为每一步都是专业人员完成的,最后出来的网站才能称得上专业网站。
照上面说,楼主如果想找份网站方面的工作,那么就向上面的3个方向发展,一是程序员,建议学习PHP语言就行了(ASP过时了,JSP不开源),二是设计员(要求有美术功底,非常熟练photoshop,会flash更好),三是排版人员(要求非常熟悉photoshopfwdw等软件,并且要精通DIV+CSS布局,能解决浏览器兼容问题,最好熟悉JAVASCRIPT,注:JAVASCRIPT和java的关系就如同雷锋和雷峰塔的关系一样,完全是两码事)。其中我的工作就是排版员。
按楼主是意思应该是想自己一个人做站,那也容易,我在大学期间就有自己的网站了,因为网上有很多内容管理系统,所以即使不会动态语言也能做成专业的网站,我用的是DEDECMS(PHP织梦内容管理系统),只要会打字就能做自己的站(当然,如果你要想拥有自己的网站风格就得学会div+css排版,自己改页面),内容管理系统还有很多,例如帝国,PHP168等,DEDEcms是最容易上手口碑也非常好的,如果想做论坛可以用论坛系统(包括dz和phpwind,全国的论坛一般都是用这两种论坛系统后台的,看起来不一样仅仅是前台表现不一样而已,核心没有变化),如果想做博客也有博客系统例如wordpress(全球最好的博客系统)等,想在网上开店也有专门的网店系统(例如shopex)。
最重要的是上面的系统都可以免费使用!
楼主要做的仅仅是买个空间域名按照要求把这些后台系统用FTP工具上传安装就行了,买空间也有诀窍,例如万网上面的楼主就不用去,贵死的地方,我自己用的就是92合租的空间,一年180元,带个com的域名也就55元,很稳定也很划算。楼主要是想买空间就先上一些虚拟主机测评网站看看口碑,莫要被骗了(我曾经就被5944个垃圾骗过,三天两头出问题)。千万不用用免费的啊!楼主是要注意的域名必须要备案才能绑带空间上去!备案不要钱,就是花点时间走流程就可以了(一般花5到30天才批下来)
赚钱?网站赚钱一般来自广告,广告可以从阿里妈妈或者百度或者个google代理过来方在自己的网站上,有人点击了广告这些代理商就会按点击次数付你钱,我做过google的广告,点击一次是10美分(就是8毛人民币!),但是如果一个网站没有流量没有人看谁会去点广告呢(广告利盟自己的统计数据是每100IP平均只有1到3个人会点击到广告)?(自己不要点,点多了会被视同作弊而被封掉你申请的广告代理帐号!)所以流量还是最重要的,流量怎么来就是考验你的眼光了,简单说就是要做一个新颖的网站,一个袭人眼球的网站(所以很多人选择做成人站,如果楼主要做这类垃圾站就去买国外空间,国外空间一般都允许放成人类容),内容是流量来源的最终原因,原创肯定是受欢迎的,但是一个人(没有人投资)做原创站很难,试想一个网站那么大,所有内容都原创肯定不可能(即使是163搜狐还不是抄来抄去的?),你也可以抄,嫌一篇一篇复制太慢了也可以用火车头这类采集工具直接复制别人整个站!当然,这个里面也设计到了一门知识叫SEO,搜索引擎优化技术,讲的是怎么提高流量的,深入的我就不多说了。
另外,团IDC网上有许多产品团购,便宜有口碑
1、如果是57版本的转移data目录引起的。
请改一下/include/vdimgckphp这个文件 这个文件里也调用了DATA里的文件也可以改路径,把带有这个 //data 改成你现在的路径。
2、查阅资料后得知,session没有清除,去data/session目录下,将除indexhtml以外文件全部删除就可以了。
3、如果还是不行,看session是否有写入权限,如果没有的话,给"internet来宾账户"添加写入权限,Linux的话,目录权限设置为"777"。
4、设置服务器的phpini:打开phpini 文件找到;sessionsave_path = "/tmp" 改写成sessioncookie_path = /把extension=php_gd2dll;将他前面的分号;去掉。
5、检查你的空间是不是满了,测试的方法是你可以随便上传FTP空间里一个文件,会有提示,你可以联系空间服务商。
6、直接去掉验证码:打开 loginphp 找到:
if($validate=='' || $validate != $svali)
替换为:
if( false )
然后,在模板dede/templets/loginhtm里去掉以下验证码的具体HTML代码:
<li><span>验证码:</span>
<input name="validate" type="text" id="vdcode" style='width:50px;text-transform:uppercase;' class="text" />
<img id="vdimgck" src="/include/vdimgckphp" alt="看不清?点击更换" align="absmiddle" style="cursor:pointer" />
</li>
或者是:在[验证码安全设置]里,说修改后的保存实际上是修改了data\safe\inc_safe_configphp 这个文件,这是个配置文件。
比如:$safe_gdopen = '1,2,3,5,6'; 这个就是系统哪些地方开启验证码。与[验证码安全设置]界面是一对一的关系。
所以,如果当我们管理后台想关闭验证码(如果验证码无法正确输入,不支持GB库)的时候,只需要打开data\safe\inc_safe_configphp 将$safe_gdopen = '1,2,3,5,6'; 中的6删除即可。不必去进行繁琐的设置。
7、是修改include文件夹的vdimgckphp文件修改以下段落,
//Session保存路径
$sessSavePath = dirname(__FILE__)"//data/sessions/";
修改为//$sessSavePath = dirname(__FILE__)"//data/sessions/";
修改后,时管用时不管用,改回来也是这样的情况。如果把DEDE后台路径修改默认的DEDE文件夹,就不会出现验证码错误的情况。
最后如果以上方法均不适用的话,那么你就重新安装下对应版本的程序,然后将您的css及文件,模板文件,upload文件夹转移过来。最后还原数据库。
一般是你网站程序有漏洞才会被挂马的,有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。
建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。
一:挂马预防措施:
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!
序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
二:挂马恢复措施:
1修改帐号密码
不管是商业或不是,初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。
2创建一个robotstxt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3修改后台文件
第一步:修改后台里的验证文件的名称。
第二步:修改connasp,防止非法下载,也可对数据库加密后在修改connasp。
第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。
4限制登陆后台IP
此方法是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯,安全第一嘛。
5自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛,可能会向不明来意者传送对方想要的信息。
6慎重选择网站程序
注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。
7谨慎上传漏洞
据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。
8 cookie 保护
登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9目录权限
请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10自我测试
如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。
11例行维护
a定期备份数据。最好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。
b定期更改数据库的名字及管理员帐密。
c借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。
网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。
网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。
您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。
0条评论