科汛CMS防止网站被挂马和arp欺骗等
大家好!
网站被挂马的路径有多种,如程序方面的漏洞引起,IIS挂马,arp欺骗,sql数据库漏洞等!
1.程序方面:
首先就要保证程序已打上官方发布的所有最新补丁,及时升级到最新版本.如果之前已经中过马,单打上补丁还是不行,必须把这个放马的后门(木马文件)找出来,如利用http://down.chinaz.com/soft/19730.htm这个工具来查找.只有真正的把木马文件找出来并删除了,才算安全!(小提示:如果在你的网站上找不到木马文件,很有可能就是通过服务器漏洞来挂马)
接下来说说程序的安全设置(针对kesioncms系统):
a、修改默认数据库名称
如果你的网站用的是acces数据库,一定要把默认的数据库名称改掉(科汛默认data/KesionCMS4.mdb),改成asp,asa,config扩展名等,如kesion!@#!!.asa 以防止数据库被下载.
相应的要改下conn.asp里的数据库路径,程序才能运行
DBPath = "/KS_Data/KesionCMS4.mdb" '改成你修改后的数据库名称 如/ks_data/kesion!@#!!.asa
b、启用认证码,并修改默认的认证码为你自己设置
具体修改方法,请打开admin/chkcode.asp ,
Const EnableSiteManageCode = True '是否启用后台管理认证码 是: True 否: False
Const SiteManageCode = "8888" '后台管理认证码,请修改,这样即使有人知道了您的后台用户名和密码也不能登录后台
根据提示,设置相应的认证码,请一定要把默认的改掉!否则启不到作用。另外有些用户喜欢将认证码取为和网站域名一样,这样也不是很安全,容易被不法分子猜到。
c、修改后台管理目录
科汛默认的管理目录是admin,为了安全起见,建议把它改掉,改了管理目录以后需要到后台基本信息设置->其它选项里也改一下
后台管理目录:/Admin 改成和你设置的目录一致!否则可能导致后台有些功能无法使用。
d、修改默认管理用户名,密码
科汛初始用户名admin 密码admin888 ,请一定要改掉!
e、目录安全设置(也是比较关键的一步)
注意有些目录不要给太大的权限,比如upfiles设置为不允许执行asp,FriendLink,GuestBook,Images,ks_cls,user等不给修改权限
再比如你的网站是启用了生成静态功能,并且都生成在html目录,那么只需要给html目录及根目录(生成网站首页需要有修改权限),上传目录(upfiles)等具有修改权限,其它目录都可以禁止修改!
科汛程序如果其它目录不给修改权限,可能需要稍改两个文件
一个是ks_cls/ks.managecls.asp
找到Sub ClassAction(ChannelID)
exit sub
Response.Write "<iframe src=""KS.ClassMenu.asp?action=Create"" frameborder=""0"" width=""0"" height=""0""></iframe>"
相关文章
科讯kesioncms 5.5以下漏洞拿shell方法的原理总结
科讯做为一个强大的cms程序大多被政府和教育机构网站所使用,关于科讯的漏洞利用教程网上不是很多。2012-08-14- 关键字描述:文章 标签 栏目 循环 调用 自动 如下 所有 频道 中心 自动调用频道下的所有栏目,新建标签如下图: 最终标签调用的效果,自动调用出帮助中心频2000-01-01
- 关键字描述:最大 图片 控制   这个 var // 宽度 maxwidth if 科汛CMS官方模板中自带了一段JS用来控制文章中的图片的最大高度和宽度。不过我也很奇怪,为什么这个j2009-06-06
- 关键字描述:代码 打开 窗口 出现 链接 文章   " < href 以前写文章投稿的时候希望一字一元,但事实上1000字的文章只能拿几十块钱的稿费,好*喏~昨儿叫2009-06-06
- 关键字描述:打造 下载 标签 定义 <   Field " nbsp & 先科汛CMS的终级下载分页列表效果图: 实现步骤: 打开自定义sql函数标签,新建2009-06-06
- 关键字描述:介绍 联系 我们 公司 页面 利用   模板 命名 关于 如题:如何利用KesionCMS做公司简介、联系我们、关于我们之类的单页面呢,今天侠客来跟大家讲一下吧2009-06-06
- 关键字描述:欺骗 网站 防止 " 文件 < 目录 修改 程序 大家好! 网站被挂马的路径有多种,如程序方面的漏洞引起,IIS挂马,arp欺骗,sql数据库漏洞等! 12009-06-06
- 关键字描述:使用技巧 标签   Field < 求职 where from 科技 1、sql标签实现2009-06-06
最新评论