当前位置:首页 > 文档收藏 > 开发技巧 > 正文内容

科汛CMS防止网站被挂马和arp欺骗等

Znanr3个月前 (01-25)120

网站被挂马的路径有多种,如程序方面的漏洞引起,IIS挂马,arp欺骗,sql数据库漏洞等!

1.程序方面:

首先就要保证程序已打上官方发布的所有最新补丁,及时升级到最新版本.如果之前已经中过马,单打上补丁还是不行,必须把这个放马的后门(木马文件)找出来,如利用http://down.chinaz.com/soft/19730.htm这个工具来查找.只有真正的把木马文件找出来并删除了,才算安全!(小提示:如果在你的网站上找不到木马文件,很有可能就是通过服务器漏洞来挂马)

接下来说说程序的安全设置(针对kesioncms系统):

a、修改默认数据库名称

如果你的网站用的是acces数据库,一定要把默认的数据库名称改掉(科汛默认data/KesionCMS4.mdb),改成asp,asa,config扩展名等,如kesion!@#!!.asa 以防止数据库被下载.

相应的要改下conn.asp里的数据库路径,程序才能运行

DBPath = “/KS_Data/KesionCMS4.mdb” ‘改成你修改后的数据库名称 如/ks_data/kesion!@#!!.asa

b、启用认证码,并修改默认的认证码为你自己设置

具体修改方法,请打开admin/chkcode.asp ,

Const EnableSiteManageCode = True ‘是否启用后台管理认证码 是: True 否: False
Const SiteManageCode = “8888” ‘后台管理认证码,请修改,这样即使有人知道了您的后台用户名和密码也不能登录后台

根据提示,设置相应的认证码,请一定要把默认的改掉!否则启不到作用。另外有些用户喜欢将认证码取为和网站域名一样,这样也不是很安全,容易被不法分子猜到。

c、修改后台管理目录

科汛默认的管理目录是admin,为了安全起见,建议把它改掉,改了管理目录以后需要到后台基本信息设置->其它选项里也改一下

后台管理目录:/Admin 改成和你设置的目录一致!否则可能导致后台有些功能无法使用。

d、修改默认管理用户名,密码

科汛初始用户名admin 密码admin888 ,请一定要改掉!

e、目录安全设置(也是比较关键的一步)

注意有些目录不要给太大的权限,比如upfiles设置为不允许执行asp,FriendLink,GuestBook,Images,ks_cls,user等不给修改权限

再比如你的网站是启用了生成静态功能,并且都生成在html目录,那么只需要给html目录及根目录(生成网站首页需要有修改权限),上传目录(upfiles)等具有修改权限,其它目录都可以禁止修改!

科汛程序如果其它目录不给修改权限,可能需要稍改两个文件

一个是ks_cls/ks.managecls.asp

找到Sub ClassAction(ChannelID)

exit sub
Response.Write “<iframe src=””KS.ClassMenu.asp?action=Create”” frameborder=””0″” width=””0″” height=””0″”></iframe>”

 

加上红色的字,让添加/修改栏目时不要自动生成搜索文件search.js,这样才不会因权限不够而提示出错

另一个是admin/ks.system.asp(当ks_inc目录禁止修改里需要修改如下代码)

找到如下

RS(“TBSetting”)=ThumbSetting
RS.Update

Dim FSO, FileObj, FileStreamObj,FileContent,FileName
Set FSO = CreateObject(KS.Setting(99))
FileName = Server.MapPath(“../KS_Inc/ajax.js”)
Set FileObj = FSO.GetFile(FileName)
Set FileStreamObj = FileObj.OpenAsTextStream(1)
If Not FileStreamObj.AtEndOfStream Then
FileContent = FileStreamObj.ReadAll
FileContent=GetAjaxInstallDir(FileContent,installdir)
Set FileObj = FSO.CreateTextFile(FileName, True)
FileObj.Write FileContent
End If
Set FSO = Nothing:Set FileObj = Nothing:Set FileStreamObj = Nothing

这个是自动获取安装目录,自动修改ks_inc/ajax.js的里安装目录文件,也可以需要删除!

f、如果你的网站标签没有启用ajax输出,可以把ks_inc/ajax.js文件删除

打开文件ks_cls/ks.rcls.asp, 并找到

Function Published()
On Error Resume Next
Published=vbcrlf &”<script src=””” & domainstr & “ks_inc/ajax.js””></script>” & vbcrlf
If SysVer = 0 Then

把红色的删除,并所有页面重新生成,即不会调用到ajax.js

另一种方法是改ajax.js文件名(根据目前发现很多用户的网站被挂都是出现在ajax.js),可以尝试改这个文件名称。如ajax2008.js等。

g、一个网站程序安装了其它程序的插件

如果你的程序并非只装有一个科汛程序,比如还装一些论坛程序,博客程序。这种情况也有可能会导致科汛程序被挂马。

h、删除不想要用的科汛插件或程序

科汛程序的插件都放在plus目录下,如果你觉得这些插件没有什么作用,你可以尝试删除

科汛最新版里的plus主要有三个目录可以删除,cc,sk_cj,wss,需要注意的是删除cc需要修改编辑器的一个文件,不然可能导致科汛自带的编辑器无法使用。具体文件在ks_cls/ks.editorcls.asp

打开文件并找到

<!–#Include File=”../Conn.asp”–>
<!–#include file=”../plus/cc/config.asp”–>
<%
‘****************************************************
删除上面红色的,并继续往下找到

ButtonArr(2,31)=”<td><object width=’86’ height=’22’><param name=’wmode’ value=’transparent’ /><param name=’allowScriptAccess’ value=’always’ /><param name=’movie’ value=’http://union.bokecc.com/flash/plugin_” & buttonstyle & “.swf?userID=” & userid & “&type=kesioncms’ /><embed src=’http://union.bokecc.com/flash/plugin_” & buttonstyle & “.swf?userID=” & userid & “&type=kesioncms’ type=’application/x-shockwave-flash’ width=’86’ height=’22’ allowFullscreen=true ></embed></object></td>”

改成

ButtonArr(2,31)=”<td></td>”

还有一个文件是ks_inc/online.asp,这是站点计数器的文件,如果你没有用到,也可以删除.

2、服务器方面

排除程序方面,就有可能是服务器安全方面的漏洞了。比如iis挂马,arp期骗挂马。这里你如果是自己的服务器就得注意做好服务器安全工作,如打上iis的所有最新补丁,装arp防火墙等等

以下给出几个常见可能的挂马方法及处理方法

1、服务器所在网络有ARP病毒(不一定要服务那台机器中了才会有,网内其他机中IIS出去的网页都会中招),打ARP免疫补丁,装ARP防火墙,杀毒软。
2、服务器主机中了病毒,系统多出未知进程。
3、病毒加在IIS 的ISAPI扩展,此处多出一项启动状态的未知道扩展,停止IIS,找到它相关的文件删除,重启IIS一般能解决。
4、配置文件挂马

%windir%\system32\inetsrv\MetaBase.xml 这文件里面有类似的:DefaultDocFooter=”FILE:C:\Inetpub\wwwroot\iisstart.htm” iisstart.htm文件内有病毒代码。删除它一般就能解决。

 

3、一种阻止global.asa挂马上传的方法

要组织恶意global.asa文件的上传,可以在web网站根目录下新建一个global.asa的空文件,设置该文件的权限为管理员只读,其他文件均无法读写

默认对该文件有读写权限的用户包括Everyone、SYSTEM、Administrators、Users,需要删除非administrators以外的用户的权限,最后只保留administrator的只读权限.

如果不想显示该文件,可以作为隐藏文件隐藏掉,后续攻击者无法再利用web应用的漏洞在该网站根目录上传名称为global.asa的文件了

局限性

(1)木马文件名称一旦变化,无法阻止;

(2)其他目录无法阻止上传;

不过考虑到根目录的挂马global.asa的危害很大,上述方法可以阻止对整个网站的影响。


扫描二维码推送至手机访问。

版权声明:本文由Znanr发布,如需转载请注明出处。

标签: 安全防护
分享给朋友:
返回列表

没有更早的文章了...

下一篇:织梦dedecms频道标签channel使用说明

相关文章

Wordpress模板标签大全

Wordpress模板标签大全

Wordpress模板基本文件 style.css 样式表文件 index.php 主页文件 single.php 日志单页文件 page.php 页面...

modoer: 常用语法loop标签(二)

modoer: 常用语法loop标签(二)

循环标签:loop例如一个数组,他的名称是$list,在这个数组变量中,存放了5条数组,格式如下:<?php $list = array(‘a’,’b’,’c’,’d’,’...

网页自动跳转

<meta http-equiv="refresh" content="1;URL=http://www.znanr.com/">...

dede全局变量的cfg_keywords和cfg_description无法显示数据

dede全局变量的cfg_keywords和cfg_description无法显示数据

维护线上dede的开源代码时,有时候发现dede全局变量的cfg_keywords和cfg_description无法显示数据解决方案:1、设置 系统->系统基本参数->站点根网址 设置为...

常见windows2003服务器上IIS占用CPU资源100%的解决办法

常见windows2003服务器上IIS占用CPU资源100%的解决办法

以下是方案1:现象:机器正在调试或允许IIS时,被异常中断服务(比如停电),然后再次IIS运行页面时,CPU资源占用100%,即使重新启动也无效。原因:发生中断时,IIS会写异常日志,但是此时写入了乱...

在Win 2003 server操作系统下通过IIS安全配置

在Win 2003 server操作系统下通过IIS安全配置

Win2003 Server的安全性较之Win2K确实有了很大的提高,但是用Win2003 Server作为服务器是否就真的安全了?如何才能打造一个安全的个人Web服务器?下面我们简单介绍一下一、Wi...