IIS短文件名漏洞如何修复?被黑子利用短文件名漏洞拿下织梦程序,织梦站长要是看完这篇织梦漏洞修复教程。我可以明确的告诉织梦站长们,黑你的小黑子算是要碰壁了。
写在前面
《Python玩得好,但那又怎么样呢》我也是,偶尔看看拦截日志。
《织梦网站后台被收录的解决办法》随便弄下,我真的是没有做任何防安全护措施的。
其实,我说的都是反话,因为,我做的安全防护措施,可能要比你想象中的要多得多。
网站日志很重要,虽然我都不看,但是不做防护措施,那网站肯定是会被拿来练手的。
举个例子
本程序,获取 data 目录下的 backupdata 网站备份文件,代码就是简单的几行代码。
<?php error_reporting(0); header('Content-type:text/html;charset=utf-8'); $txt = glob('data/backupdata/*.txt'); foreach ($txt as $file) { echo '<a href="/'.$file.'" target="_blank">'.$file.'</a><br>'.PHP_EOL; } exit(); ?>
在根目录,新建一个 index2.php 文件,代码如上,就能完美的获取所有TXT文件啦。
但这些备份中 admin|member|sysconfig 文件包含了网站的重要数据以及账号密码。
为此,我下面将分享,怎么防护这个,有可能会出现的IIS短文件名漏洞的防护措施。
修复教程
1、不使用后台备份,或者,备份好以后,马上打包下载,下载完马上就删除。
2、将data目录改名(之前写过),或者移到站外(移到站外这种说法属实嘴炮)
3、上防火墙,看《这份恶意UA黑名单,能拦截半个地球的恶意之潮》一文。
4、禁止UA特征,类似《Nginx屏蔽垃圾蜘蛛的办法》一文。
操作方法:打开 宝塔后台-网站-网站管理-配置文件 中搜索
#禁止访问的文件或目录
在它上面敲个回车,然后加入下面代码
if ($http_user_agent ~* "python|golang|SemrushBot|YisouSpider|GPTBot"){ return 403; }
完成,超级简单。使用 | 隔开,还可以禁止任何搜索引擎蜘蛛哦。
5、如果,你用宝塔的话,推荐安装宝塔防火墙,能屏蔽大量的黑子文件。
6、如果,你有用会员、投稿等功能,一定要做测试,禁止上传asp、js、php文件。
7、除此之外,用 BOM.PHP 跑一圈,清理BOM信息和查看隐藏文件特有用。
8、网站安全设置教程:伪静态规则禁止目录运行指定脚本 禁止运行PHP脚本
9、黑科技真强大,差点就把我网站给黑了。不能光嘴上说的溜,还得实际行动才行。
所有的问题,既然遇到了,多鼓捣鼓捣,就会有解决办法的。
登录后方可回帖