IIS短文件名漏洞如何修复?被黑子利用短文件名漏洞拿下织梦程序,织梦站长要是看完这篇织梦漏洞修复教程。我可以明确的告诉织梦站长们,黑你的小黑子算是要碰壁了。

写在前面

Python玩得好,但那又怎么样呢》我也是,偶尔看看拦截日志。

织梦网站后台被收录的解决办法》随便弄下,我真的是没有做任何防安全护措施的。

其实,我说的都是反话,因为,我做的安全防护措施,可能要比你想象中的要多得多。

网站日志很重要,虽然我都不看,但是不做防护措施,那网站肯定是会被拿来练手的。

举个例子

本程序,获取 data 目录下的 backupdata 网站备份文件,代码就是简单的几行代码。

<?php
error_reporting(0);
header('Content-type:text/html;charset=utf-8');
$txt = glob('data/backupdata/*.txt');
foreach ($txt as $file) {
    echo '<a href="/'.$file.'" target="_blank">'.$file.'</a><br>'.PHP_EOL;
}
exit();
?>

在根目录,新建一个 index2.php 文件,代码如上,就能完美的获取所有TXT文件啦。

但这些备份中 admin|member|sysconfig 文件包含了网站的重要数据以及账号密码。

为此,我下面将分享,怎么防护这个,有可能会出现的IIS短文件名漏洞的防护措施。

修复教程

1、不使用后台备份,或者,备份好以后,马上打包下载,下载完马上就删除。

2、将data目录改名(之前写过),或者移到站外(移到站外这种说法属实嘴炮)

3、上防火墙,看《这份恶意UA黑名单,能拦截半个地球的恶意之潮》一文。

4、禁止UA特征,类似《Nginx屏蔽垃圾蜘蛛的办法》一文。

操作方法:打开 宝塔后台-网站-网站管理-配置文件 中搜索

#禁止访问的文件或目录

在它上面敲个回车,然后加入下面代码

if ($http_user_agent ~* "python|golang|SemrushBot|YisouSpider|GPTBot"){
    return 403;
}

完成,超级简单。使用 | 隔开,还可以禁止任何搜索引擎蜘蛛哦。

5、如果,你用宝塔的话,推荐安装宝塔防火墙,能屏蔽大量的黑子文件。

6、如果,你有用会员、投稿等功能,一定要做测试,禁止上传asp、js、php文件。

7、除此之外,用 BOM.PHP 跑一圈,清理BOM信息和查看隐藏文件特有用。

8、网站安全设置教程:伪静态规则禁止目录运行指定脚本 禁止运行PHP脚本

9、黑科技真强大,差点就把我网站给黑了。不能光嘴上说的溜,还得实际行动才行。

所有的问题,既然遇到了,多鼓捣鼓捣,就会有解决办法的。

该部分是隐藏区

登录后查看

该部分是隐藏区
温馨提示

内容由用户共同创建和维护,并不代表织梦爱好者论坛立场!
建议您独自对内容进行评估,核实并咨询相关的专业人士!

织梦程序安全加固:IIS短文件名漏洞修复的方法织梦程序安全加固:IIS短文件名漏洞修复的方法织梦程序安全加固:IIS短文件名漏洞修复的方法织梦程序安全加固:IIS短文件名漏洞修复的方法织梦程序安全加固:IIS短文件名漏洞修复的方法+16  16 个回复 | 最后更新于 2025-01-16
该部分是隐藏区

登录后查看回复

该部分是隐藏区

登录后方可回帖

Loading...