织梦参数配置设置
windows服务器挂马分析与处理之三:IIS目录权限设置
接续上一篇。
10.常见CMS权限设置。设置原则,可写目录禁止脚本执行,这样即使有上传漏洞也无法运行。
一般来说,需要上传文件的或者有缓存的目录为可写(iusr可写即可)。其他目录只需可读。我们可以把站点保存的总文件夹,如WWW或者WEB,设置iusr、iis_users可读。这样里面的站点根目录继承权限即可,免得每一个站点设置很麻烦。注意iis_users也要可读。其余保留administrator和system权限即可。
站点总目录权限设置
设置好总目录,在来设置每个站点根目录权限,此时其应该继承父目录,iusr和iis_users只有可读权限。观察改站点的目录结构,找到上传文件或者有缓存的文件夹,asp站点还有数据库文件夹,设置可写。
设置data文件夹iusr可写
设置好可写后,在IIS中禁止该文件夹的脚本功能。点击iis中的站点,处理程序映射,如下图设置,设置好后,改目录中的asp、php文件访问将报错不支持脚本运行。
禁用目录脚本执行
由于不同cms的目录结构不同,有时难免设置后网站500错误。这是可以通过逐步增加权限来测试,直至能正常访问。
在此,我总结了一些常用CMS的目录权限设置:
a、织梦Dedecms目录权限
/ iusr、iis_iusrs 根目录可读
/data 有缓存,需要写入 iusr可写
/a 生成静态html,需要写入 iusr可写
/upload 上传图片,iusr可写
如需插件更新、在线模板编辑还需要开发相应文件夹可写。
设置好后,在iis中把这些文件夹禁用脚本。
b、Aspcms权限
/ iusr、iis_iusrs 根目录可读
/data 数据库,需要写入 iusr可写(另外需要启用父路径、启用32位才能操作access)
/upload 上传文件夹,iusr可写
设置好后,在iis中把这些文件夹禁用脚本。
c.微擎。此类系统一般需要站点根目录iusr具有列出文件内容权限,不然会报错。
/ iusr、iis_iusrs 根目录可读,iusr列出目录
/addon 微擎插件目录,需要iusr可写
/data 有缓存,需要iusr可写
设置好后,在iis中把这些文件夹禁用脚本。
d.H5场景秀(仿易企秀)
/ iusr、iis_iusrs 根目录可读,iusr列出目录
/application/runtime 运行时,需要iusr可写
/uploads 上传文件夹,需要iusr可写
设置好后,在iis中把这些文件夹禁用脚本。
e.pigcms、微橙。基于thinkphp。
同样,根目录可列出。Thinkphp主要设置conf里的cache、log、data可写,cms下还有个cache、session需要可写。
关于安全软件选择:
服务器安全狗,作用不大,只要改了远程端口,服务器用户名修改,防火墙端口设置好,则可不安装(主要是内存有限)。防护arp和tcp层的攻击还是比较有用,但此类攻击不多。
IIS/apache安全狗:对漏洞多的网站有作用,尤其是简单的注入,爆破等。可以偶尔扫描一下后门。
悬镜、云锁:云锁有APP,但这些不付费的话,安装意义也不到。悬镜没有用过。
关于云服务器商选择:
阿里云,国内第一不用说,自带很多防御。
百度云,好像对百度收入有好处。价格更实惠。
其他各种云,不清楚,自己尝试。
总结:目录权限越细致越安全,最好能写入的都不可执行脚本。文章完,有机会再分享渗透学习笔记。
织梦dedecms全面安全性设置方法
织梦cms相对来说还是比较简单易用的。至于织梦cms的安全性如何,是否存在漏洞,这个问题来讲是不可避免的。而且在织梦的安全性问题上,一直都是大家诟病的,找到解决办法才是根本。
织梦cms安全性设置:
1、安装dedecms时,数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的、难猜到的前缀即可。
2、织梦cms后台登录一定要开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
3、装好程序后务必删除install目录!!!
4、用不到的功能一概关闭,比如会员、评论等功能,如果没有必要通通在后台关闭。
5、将dedecms后台管理默认目录名dede改掉,改复杂一点的目录。
6、以下一些是可以删除的目录/功能(如果你用不到的话):member(会员功能)、special(专题功能)、company(企业模块)、plus\guestbook(留言板)。
迄今为止,我们发现的恶意脚本文件有:plus/ac.php、plus/config_s.php、plus/config_bak.php、 plus/diy.php、plus/ii.php、plus/lndex.php、data/cache/t.php、data/cache /x.php、data/config.php、data/cache/config_user.php、data/config_func.php等 等;
大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。
7、尽可能的使用linux,相对于windows环境服务器,Linux安全性大大的增加。
8、后台登录管理不要用admin为用户名 可以改成其他的。
9、data/common.inc.php文件属性(Linux/Unix)设置为644或(Windows NT)设置为只读。
10、针对uploads、data、templets 三个目录做执行php脚本限制。
11、不安装来路不明的模板,或者其他需要上传到FTP下的文件,要安装先杀毒再安装。
12、用最新版的织梦cms程序,就算不是最新也一定要时刻关注官方发布的补丁及时打上补丁。
13、能不用会员系统最好不要用,可以直接删除member 会员文件夹,后台关闭会员功能。实在要用一定要设置 是否允许会员上传非图片附件 设置为否 对用户进行严格限制因为有很多垃圾注册机一天注册很多用户名。
虚拟主机/空间配置目录执行php脚本限制方法: Apache环境和nginx环境的两种设置方法
对uploads、data、templets 三个目录做执行php脚本限制,就算被上传了木马文件到这些文件夹,也是无法运行的。所以这一步很重要,一定要设置。
在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。
1、Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中
RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] RewriteRule templets/(.*).(php)$ – [F]
最重要的一点,就是定时做好备份,定时检查网站,检查服务器。
织梦CMS安装教程——技术小白也可做网站
安装平台需求
1.Windows 平台:
IIS/Apache/Nginx + PHP4/PHP5.2+/PHP5.3+ + MySQL4/5
如果在windows环境中使用,建议用DedeCMS提供的DedeAMPZ套件以达到最佳使用性能。
2.Linux/Unix 平台
Apache + PHP4/PHP5 + MySQL3/4/5 (PHP必须在非安全模式下运行)
建议使用平台:Linux + Apache2.2 + PHP5.2/PHP5.3 + MySQL5.0
3.PHP必须环境或启用的系统函数:
allow_url_fopen
GD扩展库
MySQL扩展库
系统函数 —— phpinfo、dir
一、找到织梦CMS官网(),找到下载地址,织梦CMS提供两个版本,UTF8版和GBK版,根据自己的需求下载不同的版本,一般是UTF8版,所以本文以UTF8版为例。
二、解压下载后的UTF-8版本的织梦CMS系统
解压后文件夹中有两个文件包:
第一个docs是系统介绍、第二个目录是安装主目录
基本目录结构:
..../install 安装程序目录,安装完后可删除[安装时必须有可写入权限]
..../dede 默认后台管理目录(可任意改名)
..../include 类库文件目录
..../plus 附助程序目录
..../member 会员目录
..../images 系统默认模板图片存放目录
..../uploads 默认上传目录[必须可写入]
..../a 默认HTML文件存放目录[必须可写入]
..../templets 系统默认内核模板目录
..../data 系统缓存或其它可写入数据存放目录[必须可写入]
..../special 专题目录[生成一次专题后可以删除special/index.php,必须可写入]
三、安装织梦CMS系统
运行(yourname表示你的域名),按照安装提速说明进行程序安装
也可进行本地安装,打开后根据页面提示进行安装
最后安装成功进入前台展示,登陆后台对前台内容进行更改!
四、注意事项
PHP环境容易碰到的不兼容性问题
(1)data目录没写入权限,导致系统session无法使用,这将导致无法登录管理后台(直接表现为验证码不能正常显示);
(2)php的上传的临时文件夹没设置好或没写入权限,这会导致文件上传的功能无法使用;
(3)出现莫名的错误,如安装时显示空白,这样能是由于系统没装载mysql扩展导致的,对于初级用户,可以下载dede的php套件包,以方便简单的使用。