關(guān)鍵字描述：欺騙 網(wǎng)站 防止 " 文件 < 目錄 修改 程序

大家好！　

網(wǎng)站被掛馬的路徑有多種，如程序方面的漏洞引起，ＩＩＳ掛馬，arp欺騙,sql數(shù)據(jù)庫漏洞等!

１．程序方面：

首先就要保證程序已打上官方發(fā)布的所有最新補(bǔ)丁，及時(shí)升級到最新版本．如果之前已經(jīng)中過馬，單打上補(bǔ)丁還是不行，必須把這個(gè)放馬的后門（木馬文件）找出來，如利用http://down.chinaz.com/soft/19730.htm這個(gè)工具來查找．只有真正的把木馬文件找出來并刪除了，才算安全！(小提示：如果在你的網(wǎng)站上找不到木馬文件，很有可能就是通過服務(wù)器漏洞來掛馬)

接下來說說程序的安全設(shè)置(針對kesioncms系統(tǒng))：

a、修改默認(rèn)數(shù)據(jù)庫名稱

如果你的網(wǎng)站用的是acces數(shù)據(jù)庫，一定要把默認(rèn)的數(shù)據(jù)庫名稱改掉(科汛默認(rèn)data/KesionCMS4.mdb),改成asp,asa,config擴(kuò)展名等，如kesion!@#!!.asa 以防止數(shù)據(jù)庫被下載．

相應(yīng)的要改下conn.asp里的數(shù)據(jù)庫路徑，程序才能運(yùn)行

DBPath = "/KS_Data/KesionCMS4.mdb" '改成你修改后的數(shù)據(jù)庫名稱 如/ks_data/kesion!@#!!.asa

b、啟用認(rèn)證碼，并修改默認(rèn)的認(rèn)證碼為你自己設(shè)置

具體修改方法，請打開admin/chkcode.asp ,

Const EnableSiteManageCode = True '是否啟用后臺管理認(rèn)證碼 是： True 否： False
Const SiteManageCode = "8888" '后臺管理認(rèn)證碼，請修改，這樣即使有人知道了您的后臺用戶名和密碼也不能登錄后臺

根據(jù)提示，設(shè)置相應(yīng)的認(rèn)證碼，請一定要把默認(rèn)的改掉！否則啟不到作用。另外有些用戶喜歡將認(rèn)證碼取為和網(wǎng)站域名一樣，這樣也不是很安全，容易被不法分子猜到。

c、修改后臺管理目錄

科汛默認(rèn)的管理目錄是admin，為了安全起見，建議把它改掉,改了管理目錄以后需要到后臺基本信息設(shè)置->其它選項(xiàng)里也改一下

后臺管理目錄：/Admin 改成和你設(shè)置的目錄一致！否則可能導(dǎo)致后臺有些功能無法使用。

d、修改默認(rèn)管理用戶名，密碼

科汛初始用戶名admin　密碼admin888 ，請一定要改掉！

e、目錄安全設(shè)置(也是比較關(guān)鍵的一步)

　注意有些目錄不要給太大的權(quán)限，比如upfiles設(shè)置為不允許執(zhí)行asp，F(xiàn)riendLink,GuestBook,Images,ks_cls,user等不給修改權(quán)限

　再比如你的網(wǎng)站是啟用了生成靜態(tài)功能，并且都生成在html目錄，那么只需要給html目錄及根目錄(生成網(wǎng)站首頁需要有修改權(quán)限),上傳目錄(upfiles)等具有修改權(quán)限，其它目錄都可以禁止修改！

　科汛程序如果其它目錄不給修改權(quán)限，可能需要稍改兩個(gè)文件

一個(gè)是ks_cls/ks.managecls.asp

找到Sub ClassAction(ChannelID)

exit sub
Response.Write "<iframe src=""KS.ClassMenu.asp?action=Create"" frameborder=""0"" width=""0"" height=""0""></iframe>"
#p# 關(guān)鍵字描述：欺騙 網(wǎng)站 防止 " 文件 < 目錄 修改 程序

加上紅色的字，讓添加／修改欄目時(shí)不要自動生成搜索文件search.js，這樣才不會因權(quán)限不夠而提示出錯(cuò)

另一個(gè)是admin/ks.system.asp(當(dāng)ks_inc目錄禁止修改里需要修改如下代碼)

找到如下

RS("TBSetting")=ThumbSetting
RS.Update

Dim FSO, FileObj, FileStreamObj,FileContent,FileName
Set FSO = CreateObject(KS.Setting(99))
FileName = Server.MapPath("../KS_Inc/ajax.js")
Set FileObj = FSO.GetFile(FileName)
Set FileStreamObj = FileObj.OpenAsTextStream(1)
If Not FileStreamObj.AtEndOfStream Then
FileContent = FileStreamObj.ReadAll
FileContent=GetAjaxInstallDir(FileContent,installdir)
Set FileObj = FSO.CreateTextFile(FileName, True)
FileObj.Write FileContent
End If
Set FSO = Nothing:Set FileObj = Nothing:Set FileStreamObj = Nothing

這個(gè)是自動獲取安裝目錄，自動修改ks_inc/ajax.js的里安裝目錄文件，也可以需要?jiǎng)h除！

f、如果你的網(wǎng)站標(biāo)簽沒有啟用ajax輸出，可以把ks_inc/ajax.js文件刪除

　打開文件ks_cls/ks.rcls.asp, 并找到

Function Published()
On Error Resume Next
Published=vbcrlf &"<script src=""" & domainstr & "ks_inc/ajax.js""></script>" & vbcrlf
If SysVer = 0 Then

把紅色的刪除，并所有頁面重新生成，即不會調(diào)用到ajax.js

　另一種方法是改ajax.js文件名（根據(jù)目前發(fā)現(xiàn)很多用戶的網(wǎng)站被掛都是出現(xiàn)在ajax.js），可以嘗試改這個(gè)文件名稱。如ajax2008.js等。

g、一個(gè)網(wǎng)站程序安裝了其它程序的插件

如果你的程序并非只裝有一個(gè)科汛程序，比如還裝一些論壇程序，博客程序。這種情況也有可能會導(dǎo)致科汛程序被掛馬。

h、刪除不想要用的科汛插件或程序

　科汛程序的插件都放在plus目錄下，如果你覺得這些插件沒有什么作用，你可以嘗試刪除

　科汛最新版里的plus主要有三個(gè)目錄可以刪除,cc,sk_cj,wss,需要注意的是刪除cc需要修改編輯器的一個(gè)文件,不然可能導(dǎo)致科汛自帶的編輯器無法使用。具體文件在ks_cls/ks.editorcls.asp

打開文件并找到

<!--#Include File="../Conn.asp"-->
<!--#include file="../plus/cc/config.asp"-->
<%
'****************************************************
刪除上面紅色的，并繼續(xù)往下找到

ButtonArr(2,31)="<td><object width='86' height='22'><param name='wmode' value='transparent' /><param name='allowScriptAccess' value='always' /><param name='movie' value='http://union.bokecc.com/flash/plugin_" & buttonstyle & ".swf?userID=" & userid & "&type=kesioncms' /><embed src='http://union.bokecc.com/flash/plugin_" & buttonstyle & ".swf?userID=" & userid & "&type=kesioncms' type='application/x-shockwave-flash' width='86' height='22' allowFullscreen=true ></embed></object></td>"
#p# 關(guān)鍵字描述：欺騙 網(wǎng)站 防止 " 文件 < 目錄 修改 程序

改成

ButtonArr(2,31)="<td></td>"

　　還有一個(gè)文件是ks_inc/online.asp，這是站點(diǎn)計(jì)數(shù)器的文件，如果你沒有用到，也可以刪除.

2、服務(wù)器方面

排除程序方面，就有可能是服務(wù)器安全方面的漏洞了。比如iis掛馬，arp期騙掛馬。這里你如果是自己的服務(wù)器就得注意做好服務(wù)器安全工作，如打上iis的所有最新補(bǔ)丁，裝arp防火墻等等

以下給出幾個(gè)常見可能的掛馬方法及處理方法

1、服務(wù)器所在網(wǎng)絡(luò)有ARP病毒（不一定要服務(wù)那臺機(jī)器中了才會有，網(wǎng)內(nèi)其他機(jī)中IIS出去的網(wǎng)頁都會中招），打ARP免疫補(bǔ)丁，裝ARP防火墻，殺毒軟。
2、服務(wù)器主機(jī)中了病毒，系統(tǒng)多出未知進(jìn)程。
3、病毒加在IIS 的ISAPI擴(kuò)展，此處多出一項(xiàng)啟動狀態(tài)的未知道擴(kuò)展，停止IIS，找到它相關(guān)的文件刪除，重啟IIS一般能解決。
4、配置文件掛馬

%windir%\system32\inetsrv\MetaBase.xml 這文件里面有類似的：DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm" iisstart.htm文件內(nèi)有病毒代碼。刪除它一般就能解決。

相關(guān)文章：解決網(wǎng)站iframe掛馬方法

最新評論