一、目錄權(quán)限設(shè)置很重要:可以有效防范黑客上傳木馬文件.
如果通過 chmod 644 * -R 的話,php文件就沒有權(quán)限訪問了。
如果通過chmod 755 * -R 的話,php文件的權(quán)限就高了。
所以就需要分開設(shè)置目錄權(quán)限和文件權(quán)限:
linux 服務(wù)器權(quán)限:經(jīng)常要用到的命令:
find /path -type f -exec chmod 644 {} /; //設(shè)置文件權(quán)限為644
find /path -type d -exec chmod 755 {} /; //設(shè)置目錄權(quán)限為755
設(shè)置完成后,再通過命令:chown root:root * -R 將目錄和文件的所有者改為root。
這樣就更加安全了。
FTP用戶,確定使用的是linux主機。windows需要登錄到服務(wù)器中設(shè)置。
進入到phpcms 安裝根目錄,選取所有文件:
設(shè)置數(shù)字值為:755,同時選定:選擇遞歸處理子目錄,只應(yīng)用到目錄
同樣再選擇所有文件,數(shù)字值為:644,選擇遞歸處理子目錄,只應(yīng)用到文件
如果設(shè)置錯了,重新再設(shè)置就可以了。
二、Linux find命令 查找可疑的木馬文件
查找:30天內(nèi)被修改的文件
find ./ -mtime -30 -type f -exec ls -l {} /;
找到目錄下所有的txt文件
find ./ -name "*.txt" -print
找到目錄下所有的txt文件并刪除
find ./ -name "*.txt" -exec rm -rf {} /;
找到目錄下所有的php文件 并且在30天之類被修改的文件
find ./ -name "*.php" -mtime -30 -typef -exec ls -l {} /;
找到目錄下所有的php文件,同時,滿足 30天以內(nèi),1天之前的
find ./ -name "*.php" -mtime -30 -mtime +1 -type f -execls -l {} /;
三、通過apache配置限定:
1、apache 下 禁止目錄執(zhí)行php
通過目錄下面放置 .htaccess文件來限制權(quán)限。
該方法會將php文件當(dāng)做附件并下載。同時,可以通過瀏覽器訪問到文件。
php_flag engine off
使用場景:在下面目錄放置
/uploadfile/
/statics/
/html/
/phpsso_server/uploadfile/
/phpsso_server/statics/
2、禁止通過瀏覽器訪問所有文件
通過目錄下面放置 .htaccess文件來限制權(quán)限。
RewriteEngine on
RewriteRule ^(.*) /index.html
使用場景:
/caches/
/phpsso_server/caches/
3、禁止php跨目錄瀏覽權(quán)限配置:
虛擬主機配置樣例:
<VirtualHost *:80>
ServerAdmin [email protected]
DocumentRoot /data/wwwroot/www
ServerName www.phpip.com
<Directory /data/wwwroot/www>
Options FollowSymLinks
AllowOverride Options FileInfo
Order allow,deny
Allow from all
php_admin_value open_basedir /data/wwwroot/www/:/var/tmp/
DirectoryIndex index.htm index.html index.php
</Directory>
ErrorLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-error_log 86400 480"
CustomLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-access_log 86400 480" common
</VirtualHost>
4、按天存放apache日志:
參考上面配置文件:
ErrorLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-error_log 86400 480"
CustomLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-access_log 86400 480" common
文件權(quán)限
安裝文件
刪除/install安裝目錄
文件權(quán)限
PHPCMS安裝結(jié)束以后,在您不需要對系統(tǒng)核心配置文件進行修改時,請將phpcms文件夾屬性修改為644(windows服務(wù)器下登錄服務(wù)器直接修改時請設(shè)置為“只讀”)
虛擬主機控制面板-安全設(shè)置-設(shè)置執(zhí)行/寫入權(quán)限 web/phpcms取消此目錄的執(zhí)行、寫入權(quán)限 關(guān)閉網(wǎng)站即web的寫入權(quán)限ftp將無法上傳或修改任何文件,同時網(wǎng)站無法再發(fā)文緩存,遭受惡劣攻擊時可以這么做。因為虛擬主機服務(wù)器上有非常多的網(wǎng)站空間,如果別人沒有取消權(quán)限,黑客或許可以找到漏洞進行跨站修改。
讀取權(quán)限就點擊查看權(quán)限,寫入權(quán)限就是上傳東西到ftp的權(quán)限,執(zhí)行權(quán)限就是asp和php腳本的權(quán)限,如非必要不必開啟,為了網(wǎng)站安全考慮。
在線編輯
caches/configs/system.php
'tpl_edit'=>1,//是否允許在線編輯模板
將1改為0取消后臺在線編輯模板
錯誤提示
caches/configs/system.php
'debug' => 1, //是否顯示調(diào)試信息
1修改為0
開了就是如果前臺出現(xiàn)了sql錯誤等信息 就不顯示具體的錯誤代碼 用一行文字代替
不會暴露程序信息
后臺設(shè)置
帳戶安全:將后臺地址admin.php改為自定義,用戶名不要使用常見用戶名,密碼字母數(shù)字組合,用戶名密碼不重復(fù)包含。在前臺發(fā)布的文章的編輯和作者中不要顯示真實的用戶名。
安全配置:設(shè)置-安全配置(后臺登陸次數(shù)、間隔、域名<慎用>)
角色權(quán)限:設(shè)置-角色管理(成員、權(quán)限、欄目)
口令驗證:設(shè)置-管理員管理-口令卡,設(shè)置后登錄時需要輸入動態(tài)密碼(選用)
木馬查殺:擴展-木馬查殺
操作日志:擴展-后臺操作日志
前臺安全
會員系統(tǒng)
注冊:用戶-會員模塊配置(是否允許注冊、郵箱手機驗證、驗證碼等)
權(quán)限:用戶-管理會員組(組別權(quán)限)
投稿:一級欄目修改-權(quán)限設(shè)置,應(yīng)用到子欄目(游客不允許);工作流:一級審核
會員中心:在線投稿,刪除轉(zhuǎn)向鏈接
前臺文章:作者昵稱(管理員顯示站名)
友情鏈接
后臺模塊配置不允許申請,首頁刪除申請鏈接入口,防止惡意提交,頁腳留QQ就行了
升級補丁
在線升級:做好備份,擴展-在線升級,選中升級,注意不要選中模板,否則你改的模板將全變成默認(rèn)的,升級后臺有些會還原,再次修改即可,升級后根目錄會增加install安裝目錄,將之刪除。
手動升級:做好備份,官方補丁下載,比對替換。
保護查殺
保護加速:360網(wǎng)站衛(wèi)士、安全聯(lián)盟加速樂
漏洞查殺:360網(wǎng)站檢測、安全聯(lián)盟
新聞熱點
疑難解答
圖片精選
