阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 6067阅读
  • 11回复

[网络/安全]黑客入侵防备-网站安全经验

级别: 论坛版主
发帖
3606
云币
2556
— 本帖被 linanxiaoxiao 设置为精华(2016-07-14) —
如果是购买的虚拟主机这类空间,需要关注一下开放的组件以及网站源码问题,一般的漏洞出现在我们的网站源码上,比如robots.txt会暴露一些你网站的重要目录,以及一些包含数据的目录,这样可以分析出你的网站是使用的开源源码还是什么,然后就能下载分析漏洞了。另外网站的后台登录地址还是进行修改一下为好,一旦被发现不论是暴利破解还是利用你网站漏洞都是非常方便进入的,特别是下载的一些没有打补丁的源码,利用通用密码或者对网站登录没有进行二次验证完全可以绕过,还有就是网站的编辑器漏洞,这些在网上比比皆是。另外更要防备当你下载后的源码就已经被人挂上后门那就更坑了。网站后台密码一定要复杂一些,如果有找回密码的也要小心被利用。 ] k3GFPw  
ePPp)=  
Dn{19V. L  
6@,'m  
R?={{+O  
OoU'86)  
ECS服务器这种在搭建环境的时候就要开始注意你的环境是否近期有一些漏洞,系统溢出什么的,而且像2003  2000 2002 2008这种如果有些漏洞没有打上补丁很容易被利用,最最关键的就是如果你用的一键安装处环境这种,比如护卫X这种,他会给你动分好账户和数据库的一些权限的,这种大多通用账户如果有人专门对阿里的网段扫描,甚至连安装后的后台密码数据库密码和进入端口都没有改的话就要呵呵了。企业的注册账号的上传文章功能以及发布文章时候的附件和系统IIS 6 7等等利用解析漏洞也会被X。企业大多是用的通用的模板而且发现很多都是网上的公开源码修改的,一旦爆出漏洞或者没有补上那么狠可能你服务上的所有网站也会被拿下,另外你的一些信息如果和你的后台密码类似,很可能会被社工出来。  ?fqkM  
[ 此帖被我的中国在2016-07-14 11:29重新编辑 ]
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 沙发  发表于: 2016-07-14
我还没有写完 慢慢看我的更新 (VF4FC  
FclSuQWti  
其次我们甚至的内心中的复杂密码比如win的登录密码以及Linux这种的密码 虽然有协议防护SSH啥的 但是对于某种系统还是破解啥的可以进入,万一结合社工,比方你开房记录 QQ记录 某网站以前的泄密都可以推出来 ,所以虽然不是人人都有几率中奖,最好尼还是在后台设置上密码出错几次锁住或者安装个杀毒的,虽然安全狗也是可以过去的,好歹也有点心理安全感对吧
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 板凳  发表于: 2016-07-14
对于win系统的管理员 你的3389端口有没有改啊,没改的话被人扫描到多不好意思 KJ{F,fr+v  
这是修改方法:https://help.aliyun.com/knowledge_detail/6509652.html tVh4v#@+  
ssh端口的修改方法:https://help.aliyun.com/knowledge_detail/5974781.html
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 地板  发表于: 2016-07-14
网站开启了FTP,呵呵  破解咯 万一密码简单就开心了   "TI? qoz  
如果你备份的时候在网站根目录 那也会被下载 特别是通用的那种htocs这种  那你的数据库啥的全知道了 ?Fv(4g  
WordPress最近也出新漏洞了 T]`" Xl8  
Struts2代码执行漏洞修补没
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 管理员
发帖
759
云币
1687
只看该作者 4楼 发表于: 2016-07-14
好帖啊加精,标题能不能改高大上些~
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 5楼 发表于: 2016-07-14
网站文件的权限甚至对没  没有对的话还可以写入就坑了
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
发帖
81
云币
183
只看该作者 6楼 发表于: 2016-07-20
回 楼主(我的中国) 的帖子
楼主分析的有一些道理 ,看到文中也有提到过护卫神(猜想应该是护卫神) (#~063N,#  
可见对咱们护卫神也是有一些了解 qW*)]s)z  
目前护卫神的PHP套件安装是PHP环境的一键安装,对于新手或者是想快捷搭建PHP环境的用户非常有用。 ja2LXM  
另外PHP套件对MYSQL安装后,将对MYSQL进行降权(在同类的软件中都没有对MYSQL做单独降权),运行账户归入GUEST组。 o'G")o  
安装好后PHPMYADMIN的密码目前是通用(这个我们新在新版本中升级,到时将生成随机密码),但是为了安全,我们都建议用户安装后自行更改密码信息,避免密码过于简单导致被猜解。 &LE/hA  
[ 此帖被huweishen在2016-07-20 09:44重新编辑 ]
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 7楼 发表于: 2016-07-28
回 6楼(huweishen) 的帖子
是所有的护卫X 安装后不管你修改了这些安全的配置  都会被入侵 好像是啥漏洞 直接写入的账号和权限  
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 论坛版主
发帖
3414
云币
8980

只看该作者 8楼 发表于: 2016-07-29
ewebeditor的默认目录应该是这个了,不会一般安装完成后删除或者做其他操作的。 {A{=RPL  
-rUn4a  
https://bbs.aliyun.com/ewebeditor/admin/login.jsp
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 9楼 发表于: 2016-07-30
额  有的会改名字和位置
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 新人
发帖
4
云币
7
只看该作者 10楼 发表于: 2016-07-31
Re黑客入侵防备-网站安全经验
学习围观来了
级别: 攻城狮
发帖
612
云币
3100
只看该作者 11楼 发表于: 2016-07-31
学习
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)