一、目錄權(quán)限設(shè)置很重要:可以有效防范黑客上傳木馬文件.
如果通過(guò) chmod 644 * -R 的話,php文件就沒(méi)有權(quán)限訪問(wèn)了。
如果通過(guò)chmod 755 * -R 的話,php文件的權(quán)限就高了。
所以就需要分開(kāi)設(shè)置目錄權(quán)限和文件權(quán)限:
linux 服務(wù)器權(quán)限:經(jīng)常要用到的命令:
find /path -type f -exec chmod 644 {} \; //設(shè)置文件權(quán)限為644
find /path -type d -exec chmod 755 {} \; //設(shè)置目錄權(quán)限為755
設(shè)置完成后,再通過(guò)命令:chown root:root * -R 將目錄和文件的所有者改為root。
這樣就更加安全了。
FTP用戶,確定使用的是linux主機(jī)。windows需要登錄到服務(wù)器中設(shè)置。
進(jìn)入到phpcms 安裝根目錄,選取所有文件:
設(shè)置數(shù)字值為:755,同時(shí)選定:選擇遞歸處理子目錄,只應(yīng)用到目錄
同樣再選擇所有文件,數(shù)字值為:644,選擇遞歸處理子目錄,只應(yīng)用到文件
如果設(shè)置錯(cuò)了,重新再設(shè)置就可以了。
二、Linux find命令 查找可疑的木馬文件
查找:30天內(nèi)被修改的文件
find ./ -mtime -30 -type f -exec ls -l {} \;
找到目錄下所有的txt文件
find ./ -name "*.txt" -print
找到目錄下所有的txt文件并刪除
find ./ -name "*.txt" -exec rm -rf {} \;
找到目錄下所有的php文件 并且在30天之類被修改的文件
find ./ -name "*.php" -mtime -30 -typef -exec ls -l {} \;
找到目錄下所有的php文件,同時(shí),滿足 30天以內(nèi),1天之前的
find ./ -name "*.php" -mtime -30 -mtime +1 -type f -execls -l {} \;
三、通過(guò)apache配置限定:
1、apache 下 禁止目錄執(zhí)行php
通過(guò)目錄下面放置 .htaccess文件來(lái)限制權(quán)限。
該方法會(huì)將php文件當(dāng)做附件并下載。同時(shí),可以通過(guò)瀏覽器訪問(wèn)到文件。
php_flag engine off
使用場(chǎng)景:在下面目錄放置
\uploadfile\
\statics\
\html\
\phpsso_server\uploadfile\
\phpsso_server\statics\
2、禁止通過(guò)瀏覽器訪問(wèn)所有文件
通過(guò)目錄下面放置 .htaccess文件來(lái)限制權(quán)限。
RewriteEngine on
RewriteRule ^(.*) /index.html
使用場(chǎng)景:
\caches\
\phpsso_server\caches\
3、禁止php跨目錄瀏覽權(quán)限配置:
虛擬主機(jī)配置樣例:
<VirtualHost *:80>
ServerAdmin root@phpip.com
DocumentRoot /data/wwwroot/www
ServerName www.phpip.com
<Directory /data/wwwroot/www>
Options FollowSymLinks
AllowOverride Options FileInfo
Order allow,deny
Allow from all
php_admin_value open_basedir /data/wwwroot/www/:/var/tmp/
DirectoryIndex index.htm index.html index.php
</Directory>
ErrorLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-error_log 86400 480"
CustomLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-access_log 86400 480" common
</VirtualHost>
4、按天存放apache日志:
參考上面配置文件:
ErrorLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-error_log 86400 480"
CustomLog "| /usr/sbin/rotatelogs /data/logs/%m_%d_www.phpip.com-access_log 86400 480" common
文件權(quán)限
安裝文件
刪除/install安裝目錄
文件權(quán)限
PHPCMS安裝結(jié)束以后,在您不需要對(duì)系統(tǒng)核心配置文件進(jìn)行修改時(shí),請(qǐng)將phpcms文件夾屬性修改為644(windows服務(wù)器下登錄服務(wù)器直接修改時(shí)請(qǐng)?jiān)O(shè)置為“只讀”)
虛擬主機(jī)控制面板-安全設(shè)置-設(shè)置執(zhí)行/寫(xiě)入權(quán)限 web/phpcms取消此目錄的執(zhí)行、寫(xiě)入權(quán)限 關(guān)閉網(wǎng)站即web的寫(xiě)入權(quán)限ftp將無(wú)法上傳或修改任何文件,同時(shí)網(wǎng)站無(wú)法再發(fā)文緩存,遭受惡劣攻擊時(shí)可以這么做。因?yàn)樘摂M主機(jī)服務(wù)器上有非常多的網(wǎng)站空間,如果別人沒(méi)有取消權(quán)限,黑客或許可以找到漏洞進(jìn)行跨站修改。
讀取權(quán)限就點(diǎn)擊查看權(quán)限,寫(xiě)入權(quán)限就是上傳東西到ftp的權(quán)限,執(zhí)行權(quán)限就是asp和php腳本的權(quán)限,如非必要不必開(kāi)啟,為了網(wǎng)站安全考慮。
在線編輯
caches\configs\system.php
'tpl_edit'=>1,//是否允許在線編輯模板
將1改為0取消后臺(tái)在線編輯模板
錯(cuò)誤提示
caches\configs\system.php
'debug' => 1, //是否顯示調(diào)試信息
1修改為0
開(kāi)了就是如果前臺(tái)出現(xiàn)了sql錯(cuò)誤等信息 就不顯示具體的錯(cuò)誤代碼 用一行文字代替
不會(huì)暴露程序信息
后臺(tái)設(shè)置
帳戶安全:將后臺(tái)地址admin.php改為自定義,用戶名不要使用常見(jiàn)用戶名,密碼字母數(shù)字組合,用戶名密碼不重復(fù)包含。在前臺(tái)發(fā)布的文章的編輯和作者中不要顯示真實(shí)的用戶名。
安全配置:設(shè)置-安全配置(后臺(tái)登陸次數(shù)、間隔、域名<慎用>)
角色權(quán)限:設(shè)置-角色管理(成員、權(quán)限、欄目)
口令驗(yàn)證:設(shè)置-管理員管理-口令卡,設(shè)置后登錄時(shí)需要輸入動(dòng)態(tài)密碼(選用)
木馬查殺:擴(kuò)展-木馬查殺
操作日志:擴(kuò)展-后臺(tái)操作日志
前臺(tái)安全
會(huì)員系統(tǒng)
注冊(cè):用戶-會(huì)員模塊配置(是否允許注冊(cè)、郵箱手機(jī)驗(yàn)證、驗(yàn)證碼等)
權(quán)限:用戶-管理會(huì)員組(組別權(quán)限)
投稿:一級(jí)欄目修改-權(quán)限設(shè)置,應(yīng)用到子欄目(游客不允許);工作流:一級(jí)審核
會(huì)員中心:在線投稿,刪除轉(zhuǎn)向鏈接
前臺(tái)文章:作者昵稱(管理員顯示站名)
友情鏈接
后臺(tái)模塊配置不允許申請(qǐng),首頁(yè)刪除申請(qǐng)鏈接入口,防止惡意提交,頁(yè)腳留QQ就行了
升級(jí)補(bǔ)丁
在線升級(jí):做好備份,擴(kuò)展-在線升級(jí),選中升級(jí),注意不要選中模板,否則你改的模板將全變成默認(rèn)的,升級(jí)后臺(tái)有些會(huì)還原,再次修改即可,升級(jí)后根目錄會(huì)增加install安裝目錄,將之刪除。
手動(dòng)升級(jí):做好備份,官方補(bǔ)丁下載,比對(duì)替換。
保護(hù)查殺
保護(hù)加速:360網(wǎng)站衛(wèi)士、安全聯(lián)盟加速樂(lè)
漏洞查殺:360網(wǎng)站檢測(cè)、安全聯(lián)盟
