經常被掛馬的朋友必看之安全思維
阿新 • • 發佈:2019-02-19
一、掛馬前的安全措失
A、改更預設管理目錄dede。
B、檢查install目錄裡是否存在install.lock檔案。有使用者沒給install目錄寫許可權導致安裝的時候沒有生成lock檔案。安裝完成後可整個刪除intstall目錄。
C、關注後臺更新通知,檢查是否打上最新dedeCMS補丁
D、伺服器web目錄許可權設定
有條件的使用者把DedeCms中 data、templets、uploads、html、special、imagess、install目錄設定為不允許執行指令碼,其它目錄禁止寫入,系統將更安全。
E、建議到官方下載程式
F、伺服器安全措施(以windows2003系統為例)
1、更新系統補丁到最新的,並開啟自動更新
2、安裝防毒軟體,更新病毒庫到最新,並開啟自動更新
3、開啟系統自帶的防火牆,開放應用中的埠,以過濾不必要的埠訪問
4、開啟tcp/ip安全策略,開放應用中的埠,以過濾不必要的埠訪問
5、開啟使用者與使用者組管理,新增IUSR使用者對應不同WEB站點,以便分許可權管理減少因一站點被黑帶來的許可權危機
6、針對不同的WEB目錄設定不同的許可權
例:WebSiteA目錄對應許可權一般為system/administrators完全許可權 IUSR_websiteA只讀許可權
WebsiteA下面的子目錄根據DedeCMS程式的需求分配IUSR_websiteA的寫入執行許可權,詳見上面b點目錄許可權說明
7、不要在伺服器上安裝不明來路的軟體
8、不要在伺服器上安裝什麼破解版漢化版軟體,如果實在需要建議用原版
9、建議不要安裝ServU FTP軟體,換用其它的FTP軟體,更改FTP埠,使用者密碼不要太簡單
10、如果不需要請儘量關閉服務應用的遠端訪問功能,如mysql user的遠端訪問
11、針對上面一點,可以運用本地安全策略功能,設定允許訪問IP。
12、運用本地安全策略,還可以有效拒絕CC攻擊,過濾來源IP的訪問。
13、伺服器上各項服務應用注意及時更新補丁,如mssql切記打補丁,而且要使用正版的,沒條件的也要使用正規的複製版本
14、伺服器上的各項應用如IIS配置mysql配置,請搜尋百度谷歌這方面的安全應用的專題,加強內功是很重要的。
15、開啟IIS的訪問日誌記錄
二、掛馬後的安全檢查
必要時關閉網站進入一步步排查
A、進DedeCMS管理後臺檢查是否有新補丁或安全提醒沒有及時更新。
B、檢查原始檔中是否有相應木馬病毒程式碼,以確認是否為ARP攻擊
ARP攻擊表現:程式檔案毫無異動,攻擊是採用欺騙目標閘道器以達到欺騙使用者端的效果,實現使用者端訪問網站載入木馬的目的。
ARP攻擊防範:對伺服器加裝防ARP攻擊類的軟體及其它應對措施,或聯絡您的IDC服務商。
C、檢查目錄許可權,詳見第一大點裡的安全措施。
D、檢查FTP裡的每一個目錄,查詢最近被修改過的可疑檔案。
1、用記事本等類工具開啟查詢,如果是真被掛馬,這裡分析下都能找到。
2、如果是整站被掛,請著重先檢查下整站呼叫的js檔案。
3、從檔案中找出被掛的程式碼,複製程式碼的關鍵語句部分,開啟替換類軟體批量替或批量找吧。
4、上面一步需要有伺服器控制權限,沒有的話只能下載回來批了。(這是謹慎的辦法,如果你有把握那可以只檢查部分檔案或目錄)
E、上面還是解決不了,那得分析IISLOG日誌,追根朔源查詢入侵點。
你可以下載IISlog分析類軟體研究。
三、如何向官方求助或報告安全問題?
1、檢視木馬、可疑檔案的修改時間
2、檢視站點系統日誌,對照第1點所獲得的時間,找出掛馬的方式。
A、改更預設管理目錄dede。
B、檢查install目錄裡是否存在install.lock檔案。有使用者沒給install目錄寫許可權導致安裝的時候沒有生成lock檔案。安裝完成後可整個刪除intstall目錄。
C、關注後臺更新通知,檢查是否打上最新dedeCMS補丁
D、伺服器web目錄許可權設定
有條件的使用者把DedeCms中 data、templets、uploads、html、special、imagess、install目錄設定為不允許執行指令碼,其它目錄禁止寫入,系統將更安全。
E、建議到官方下載程式
F、伺服器安全措施(以windows2003系統為例)
1、更新系統補丁到最新的,並開啟自動更新
2、安裝防毒軟體,更新病毒庫到最新,並開啟自動更新
3、開啟系統自帶的防火牆,開放應用中的埠,以過濾不必要的埠訪問
4、開啟tcp/ip安全策略,開放應用中的埠,以過濾不必要的埠訪問
5、開啟使用者與使用者組管理,新增IUSR使用者對應不同WEB站點,以便分許可權管理減少因一站點被黑帶來的許可權危機
6、針對不同的WEB目錄設定不同的許可權
例:WebSiteA目錄對應許可權一般為system/administrators完全許可權 IUSR_websiteA只讀許可權
WebsiteA下面的子目錄根據DedeCMS程式的需求分配IUSR_websiteA的寫入執行許可權,詳見上面b點目錄許可權說明
7、不要在伺服器上安裝不明來路的軟體
8、不要在伺服器上安裝什麼破解版漢化版軟體,如果實在需要建議用原版
9、建議不要安裝ServU FTP軟體,換用其它的FTP軟體,更改FTP埠,使用者密碼不要太簡單
10、如果不需要請儘量關閉服務應用的遠端訪問功能,如mysql user的遠端訪問
11、針對上面一點,可以運用本地安全策略功能,設定允許訪問IP。
12、運用本地安全策略,還可以有效拒絕CC攻擊,過濾來源IP的訪問。
13、伺服器上各項服務應用注意及時更新補丁,如mssql切記打補丁,而且要使用正版的,沒條件的也要使用正規的複製版本
14、伺服器上的各項應用如IIS配置mysql配置,請搜尋百度谷歌這方面的安全應用的專題,加強內功是很重要的。
15、開啟IIS的訪問日誌記錄
二、掛馬後的安全檢查
必要時關閉網站進入一步步排查
A、進DedeCMS管理後臺檢查是否有新補丁或安全提醒沒有及時更新。
B、檢查原始檔中是否有相應木馬病毒程式碼,以確認是否為ARP攻擊
ARP攻擊表現:程式檔案毫無異動,攻擊是採用欺騙目標閘道器以達到欺騙使用者端的效果,實現使用者端訪問網站載入木馬的目的。
ARP攻擊防範:對伺服器加裝防ARP攻擊類的軟體及其它應對措施,或聯絡您的IDC服務商。
C、檢查目錄許可權,詳見第一大點裡的安全措施。
D、檢查FTP裡的每一個目錄,查詢最近被修改過的可疑檔案。
1、用記事本等類工具開啟查詢,如果是真被掛馬,這裡分析下都能找到。
2、如果是整站被掛,請著重先檢查下整站呼叫的js檔案。
3、從檔案中找出被掛的程式碼,複製程式碼的關鍵語句部分,開啟替換類軟體批量替或批量找吧。
4、上面一步需要有伺服器控制權限,沒有的話只能下載回來批了。(這是謹慎的辦法,如果你有把握那可以只檢查部分檔案或目錄)
E、上面還是解決不了,那得分析IISLOG日誌,追根朔源查詢入侵點。
你可以下載IISlog分析類軟體研究。
三、如何向官方求助或報告安全問題?
1、檢視木馬、可疑檔案的修改時間
2、檢視站點系統日誌,對照第1點所獲得的時間,找出掛馬的方式。
3、請先認真閱讀理解一二大點,確認仍無法解決的,請論壇PM官方技術支援
轉自 :http://bbs.dedecms.com/simple/?t87302.html