s*****l
发帖数: 2041 | 1 真是大意了。其实自己心里知道一个潜在的漏洞,因为是一个小站(才几千号人的网上
论坛),就没有管。而且网站只是孩子教育的一些东西,没有什么敏感内容。没想到就
因为这个漏洞被黑了。
这两天终于把网站恢复过来了,数据库密码等等全都换了。现在才真实的感受到网上黑
手无处不在。
有人推荐360的网络卫士(漏洞检查)。自己在360测了一下,没有查出什么东西。大家
伙都怎么处理网站安全的? |
g****z
发帖数: 1135 | 2 有这事?我怎么多年了从来没遇上过。你啥网站让我去看看? |
c******n
发帖数: 16666 | 3 debian自己升个级 discuzx也升级
一般不会有太大问题
密码就用mysql自带生成器生成几个
【在 s*****l 的大作中提到】
: 真是大意了。其实自己心里知道一个潜在的漏洞,因为是一个小站(才几千号人的网上
: 论坛),就没有管。而且网站只是孩子教育的一些东西,没有什么敏感内容。没想到就
: 因为这个漏洞被黑了。
: 这两天终于把网站恢复过来了,数据库密码等等全都换了。现在才真实的感受到网上黑
: 手无处不在。
: 有人推荐360的网络卫士(漏洞检查)。自己在360测了一下,没有查出什么东西。大家
: 伙都怎么处理网站安全的?
|
s*****l
发帖数: 2041 | 4 现在已经恢复了:www.huarenkids.com
刚开始只是发现主页被替换了
被替换的页面我还留了一个备份:www.huarenkids.com/err.htm
我把主页换回来后以为就没事了
没想到没有那么简单,一个多星期前就已经被上传了一些后门文件
所以忙着更换数据库密码,清理修改的文件(已经生成/上传了上千个文件)
花了整整两天才弄好
欢迎大伙帮忙提建议怎么提高网站安全性
【在 g****z 的大作中提到】
: 有这事?我怎么多年了从来没遇上过。你啥网站让我去看看?
|
s*****l
发帖数: 2041 | 5 升级是把双刃剑啊
一升级又得重新修改各个地方
而且discuz每个升级的版本都会有这样那样的问题
以前老升级问题多多,现在逮到一个稍微稳定的版本就不想再折腾了
【在 c******n 的大作中提到】
: debian自己升个级 discuzx也升级
: 一般不会有太大问题
: 密码就用mysql自带生成器生成几个
|
c******n
发帖数: 16666 | 6 嗯 所以我在用linode的第一周就全盘推翻重新布局
数据盘和系统盘 分开
然后利用丫自带的 盘复制功能 做备份
只要linode账号没被盗
就算是系统被人弄完了 我只要上线修改下profile 重启
1分钟back online
【在 s*****l 的大作中提到】
: 升级是把双刃剑啊
: 一升级又得重新修改各个地方
: 而且discuz每个升级的版本都会有这样那样的问题
: 以前老升级问题多多,现在逮到一个稍微稳定的版本就不想再折腾了
|
c******n
发帖数: 16666 | 7 同理 数据盘放www和sql
哪怕全弄坏了 点几下鼠标 恢复就是了
不过我现在debian还在6 当年从5升级到6修了不少小问题
啥时候有空再上7吧 |
c******n
发帖数: 16666 | 8 然后顺便把ssh登陆改安全点
我有天瞄了眼log
密密麻麻都是在扫描 在尝试登陆
现在改了端口号码 然后用key+passwd登陆 就好多了 |
s*****l
发帖数: 2041 | 9 复制的需要预留一个空盘出来吧
本来linode空间就小
你用的是1G plan么?
【在 c******n 的大作中提到】
: 嗯 所以我在用linode的第一周就全盘推翻重新布局
: 数据盘和系统盘 分开
: 然后利用丫自带的 盘复制功能 做备份
: 只要linode账号没被盗
: 就算是系统被人弄完了 我只要上线修改下profile 重启
: 1分钟back online
|
s*****l
发帖数: 2041 | 10 我用的是key登陆,
怎样改登陆端口号码和用key+passw?
谢谢了
【在 c******n 的大作中提到】
: 然后顺便把ssh登陆改安全点
: 我有天瞄了眼log
: 密密麻麻都是在扫描 在尝试登陆
: 现在改了端口号码 然后用key+passwd登陆 就好多了
|
|
|
c******n
发帖数: 16666 | 11 是啊 你一个论坛能用这么多空间?去年不是硬盘空间翻番了吗
【在 s*****l 的大作中提到】
: 复制的需要预留一个空盘出来吧
: 本来linode空间就小
: 你用的是1G plan么?
|
s*****l
发帖数: 2041 | 12 论坛,上传附件什么的还是蛮占空间的,还有图片什么的,每天一点点,集腋成裘啊
【在 c******n 的大作中提到】
: 是啊 你一个论坛能用这么多空间?去年不是硬盘空间翻番了吗
|
c******n
发帖数: 16666 | 13 生成key的时候再要密码
一般用key就很难破解了吧。。我是因为把key放在dropbox 所以不得已
【在 s*****l 的大作中提到】
: 我用的是key登陆,
: 怎样改登陆端口号码和用key+passw?
: 谢谢了
|
s*****l
发帖数: 2041 | 14 网站访问的log我是有备份的,但是系统的log我居然没有备份
整个/var/log都备份呢,还是只要syslog, userlog保存一下就可以了?
【在 c******n 的大作中提到】
: 然后顺便把ssh登陆改安全点
: 我有天瞄了眼log
: 密密麻麻都是在扫描 在尝试登陆
: 现在改了端口号码 然后用key+passwd登陆 就好多了
|
s*****l
发帖数: 2041 | 15 嗯,觉得ssh账户应该没有被破
应该是网站目录的属性我改成777,不知怎么回事,
黑客就可以上传文件并且控制我的网站了
应该是网站的漏洞
【在 c******n 的大作中提到】
: 生成key的时候再要密码
: 一般用key就很难破解了吧。。我是因为把key放在dropbox 所以不得已
|
g****z
发帖数: 1135 | 16 估计不是密码之类的问题,是你的某个URL接受比如PUT,POST。而你的后台程序未做检
测或过滤不接受的request.
【在 s*****l 的大作中提到】
: 现在已经恢复了:www.huarenkids.com
: 刚开始只是发现主页被替换了
: 被替换的页面我还留了一个备份:www.huarenkids.com/err.htm
: 我把主页换回来后以为就没事了
: 没想到没有那么简单,一个多星期前就已经被上传了一些后门文件
: 所以忙着更换数据库密码,清理修改的文件(已经生成/上传了上千个文件)
: 花了整整两天才弄好
: 欢迎大伙帮忙提建议怎么提高网站安全性
|
s*****l
发帖数: 2041 | 17 嗯,现在把目录属性改了,希望能够挡住黑客的袭击。
【在 g****z 的大作中提到】
: 估计不是密码之类的问题,是你的某个URL接受比如PUT,POST。而你的后台程序未做检
: 测或过滤不接受的request.
|
s*******n
发帖数: 196 | 18 其实大多数网站容易攻破,小网站没精力分析漏洞。最容易的防守就是升级,别偷懒,
【在 s*****l 的大作中提到】
: 真是大意了。其实自己心里知道一个潜在的漏洞,因为是一个小站(才几千号人的网上
: 论坛),就没有管。而且网站只是孩子教育的一些东西,没有什么敏感内容。没想到就
: 因为这个漏洞被黑了。
: 这两天终于把网站恢复过来了,数据库密码等等全都换了。现在才真实的感受到网上黑
: 手无处不在。
: 有人推荐360的网络卫士(漏洞检查)。自己在360测了一下,没有查出什么东西。大家
: 伙都怎么处理网站安全的?
|
s*******n
发帖数: 196 | 19 看你有上传功能,要查看有没可能上传script,可能被reverse shell 了
【在 s*****l 的大作中提到】
: 现在已经恢复了:www.huarenkids.com
: 刚开始只是发现主页被替换了
: 被替换的页面我还留了一个备份:www.huarenkids.com/err.htm
: 我把主页换回来后以为就没事了
: 没想到没有那么简单,一个多星期前就已经被上传了一些后门文件
: 所以忙着更换数据库密码,清理修改的文件(已经生成/上传了上千个文件)
: 花了整整两天才弄好
: 欢迎大伙帮忙提建议怎么提高网站安全性
|
c********1
发帖数: 421 | 20 这些后门文件是如何被成功上传的?又是如何被成功运行的?
哪怕连mitbbs这种技术烂站,都能做到防恶意代码上传并运行
【在 s*****l 的大作中提到】
: 现在已经恢复了:www.huarenkids.com
: 刚开始只是发现主页被替换了
: 被替换的页面我还留了一个备份:www.huarenkids.com/err.htm
: 我把主页换回来后以为就没事了
: 没想到没有那么简单,一个多星期前就已经被上传了一些后门文件
: 所以忙着更换数据库密码,清理修改的文件(已经生成/上传了上千个文件)
: 花了整整两天才弄好
: 欢迎大伙帮忙提建议怎么提高网站安全性
|
|
|
s*****l
发帖数: 2041 | 21 升级有个问题就是,如何track改过的东西
【在 s*******n 的大作中提到】
: 其实大多数网站容易攻破,小网站没精力分析漏洞。最容易的防守就是升级,别偷懒,
|
s*****l
发帖数: 2041 | 22 问题找到了,就是shell的问题(但愿就是这个问题)
【在 s*******n 的大作中提到】
: 看你有上传功能,要查看有没可能上传script,可能被reverse shell 了
|
s*****l
发帖数: 2041 | 23 装的一个插件有漏洞
【在 c********1 的大作中提到】
: 这些后门文件是如何被成功上传的?又是如何被成功运行的?
: 哪怕连mitbbs这种技术烂站,都能做到防恶意代码上传并运行
|
c********1
发帖数: 421 | 24 struts? drupal? magento?
【在 s*****l 的大作中提到】
: 装的一个插件有漏洞
|
s*****l
发帖数: 2041 | 25 呵呵,不是,
是一个shell的漏洞
【在 c********1 的大作中提到】
: struts? drupal? magento?
|
s*******n
发帖数: 196 | 26 尽量不改别人的东西否则无解
【在 s*****l 的大作中提到】
: 升级有个问题就是,如何track改过的东西
|
s*****l
发帖数: 2041 | 27 不改不行啊,他们的bug不会那么及时的出补丁(或者就压根不出)
另外模板的美观等等,都需要修改
【在 s*******n 的大作中提到】
: 尽量不改别人的东西否则无解
|
p*****u
发帖数: 214 | 28 一般都会利用目录具备上传的功能,上传文件,然后运行,好多脚本列举出文件,然后
写入代码,因为每个文件都会有group的读写权限,运行脚本自然也具备同样的功能,
除非你把目录文件改成只读。但有些目录是必须可写的,所以在上传文件过程中一定要
检测文件的内容,可以使用第三方scan,或者malware 工具定期扫描。
【在 s*****l 的大作中提到】
: 不改不行啊,他们的bug不会那么及时的出补丁(或者就压根不出)
: 另外模板的美观等等,都需要修改
|
s*****l
发帖数: 2041 | 29 说的有道理,当时看到一个插件蛮喜欢的,所以就一时大意了
【在 p*****u 的大作中提到】
: 一般都会利用目录具备上传的功能,上传文件,然后运行,好多脚本列举出文件,然后
: 写入代码,因为每个文件都会有group的读写权限,运行脚本自然也具备同样的功能,
: 除非你把目录文件改成只读。但有些目录是必须可写的,所以在上传文件过程中一定要
: 检测文件的内容,可以使用第三方scan,或者malware 工具定期扫描。
|
s*****l
发帖数: 2041 | 30 真是大意了。其实自己心里知道一个潜在的漏洞,因为是一个小站(才几千号人的网上
论坛),就没有管。而且网站只是孩子教育的一些东西,没有什么敏感内容。没想到就
因为这个漏洞被黑了。
这两天终于把网站恢复过来了,数据库密码等等全都换了。现在才真实的感受到网上黑
手无处不在。
有人推荐360的网络卫士(漏洞检查)。自己在360测了一下,没有查出什么东西。大家
伙都怎么处理网站安全的? |
|
|
g****z
发帖数: 1135 | 31 有这事?我怎么多年了从来没遇上过。你啥网站让我去看看? |
c******n
发帖数: 16666 | 32 debian自己升个级 discuzx也升级
一般不会有太大问题
密码就用mysql自带生成器生成几个
【在 s*****l 的大作中提到】
: 真是大意了。其实自己心里知道一个潜在的漏洞,因为是一个小站(才几千号人的网上
: 论坛),就没有管。而且网站只是孩子教育的一些东西,没有什么敏感内容。没想到就
: 因为这个漏洞被黑了。
: 这两天终于把网站恢复过来了,数据库密码等等全都换了。现在才真实的感受到网上黑
: 手无处不在。
: 有人推荐360的网络卫士(漏洞检查)。自己在360测了一下,没有查出什么东西。大家
: 伙都怎么处理网站安全的?
|
s*****l
发帖数: 2041 | 33 现在已经恢复了:www.huarenkids.com
刚开始只是发现主页被替换了
被替换的页面我还留了一个备份:www.huarenkids.com/err.htm
我把主页换回来后以为就没事了
没想到没有那么简单,一个多星期前就已经被上传了一些后门文件
所以忙着更换数据库密码,清理修改的文件(已经生成/上传了上千个文件)
花了整整两天才弄好
欢迎大伙帮忙提建议怎么提高网站安全性
【在 g****z 的大作中提到】
: 有这事?我怎么多年了从来没遇上过。你啥网站让我去看看?
|
s*****l
发帖数: 2041 | 34 升级是把双刃剑啊
一升级又得重新修改各个地方
而且discuz每个升级的版本都会有这样那样的问题
以前老升级问题多多,现在逮到一个稍微稳定的版本就不想再折腾了
【在 c******n 的大作中提到】
: debian自己升个级 discuzx也升级
: 一般不会有太大问题
: 密码就用mysql自带生成器生成几个
|
c******n
发帖数: 16666 | 35 嗯 所以我在用linode的第一周就全盘推翻重新布局
数据盘和系统盘 分开
然后利用丫自带的 盘复制功能 做备份
只要linode账号没被盗
就算是系统被人弄完了 我只要上线修改下profile 重启
1分钟back online
【在 s*****l 的大作中提到】
: 升级是把双刃剑啊
: 一升级又得重新修改各个地方
: 而且discuz每个升级的版本都会有这样那样的问题
: 以前老升级问题多多,现在逮到一个稍微稳定的版本就不想再折腾了
|
c******n
发帖数: 16666 | 36 同理 数据盘放www和sql
哪怕全弄坏了 点几下鼠标 恢复就是了
不过我现在debian还在6 当年从5升级到6修了不少小问题
啥时候有空再上7吧 |
c******n
发帖数: 16666 | 37 然后顺便把ssh登陆改安全点
我有天瞄了眼log
密密麻麻都是在扫描 在尝试登陆
现在改了端口号码 然后用key+passwd登陆 就好多了 |
s*****l
发帖数: 2041 | 38 复制的需要预留一个空盘出来吧
本来linode空间就小
你用的是1G plan么?
【在 c******n 的大作中提到】
: 嗯 所以我在用linode的第一周就全盘推翻重新布局
: 数据盘和系统盘 分开
: 然后利用丫自带的 盘复制功能 做备份
: 只要linode账号没被盗
: 就算是系统被人弄完了 我只要上线修改下profile 重启
: 1分钟back online
|
s*****l
发帖数: 2041 | 39 我用的是key登陆,
怎样改登陆端口号码和用key+passw?
谢谢了
【在 c******n 的大作中提到】
: 然后顺便把ssh登陆改安全点
: 我有天瞄了眼log
: 密密麻麻都是在扫描 在尝试登陆
: 现在改了端口号码 然后用key+passwd登陆 就好多了
|
c******n
发帖数: 16666 | 40 是啊 你一个论坛能用这么多空间?去年不是硬盘空间翻番了吗
【在 s*****l 的大作中提到】
: 复制的需要预留一个空盘出来吧
: 本来linode空间就小
: 你用的是1G plan么?
|
|
|
s*****l
发帖数: 2041 | 41 论坛,上传附件什么的还是蛮占空间的,还有图片什么的,每天一点点,集腋成裘啊
【在 c******n 的大作中提到】
: 是啊 你一个论坛能用这么多空间?去年不是硬盘空间翻番了吗
|
c******n
发帖数: 16666 | 42 生成key的时候再要密码
一般用key就很难破解了吧。。我是因为把key放在dropbox 所以不得已
【在 s*****l 的大作中提到】
: 我用的是key登陆,
: 怎样改登陆端口号码和用key+passw?
: 谢谢了
|
s*****l
发帖数: 2041 | 43 网站访问的log我是有备份的,但是系统的log我居然没有备份
整个/var/log都备份呢,还是只要syslog, userlog保存一下就可以了?
【在 c******n 的大作中提到】
: 然后顺便把ssh登陆改安全点
: 我有天瞄了眼log
: 密密麻麻都是在扫描 在尝试登陆
: 现在改了端口号码 然后用key+passwd登陆 就好多了
|
s*****l
发帖数: 2041 | 44 嗯,觉得ssh账户应该没有被破
应该是网站目录的属性我改成777,不知怎么回事,
黑客就可以上传文件并且控制我的网站了
应该是网站的漏洞
【在 c******n 的大作中提到】
: 生成key的时候再要密码
: 一般用key就很难破解了吧。。我是因为把key放在dropbox 所以不得已
|
g****z
发帖数: 1135 | 45 估计不是密码之类的问题,是你的某个URL接受比如PUT,POST。而你的后台程序未做检
测或过滤不接受的request.
【在 s*****l 的大作中提到】
: 现在已经恢复了:www.huarenkids.com
: 刚开始只是发现主页被替换了
: 被替换的页面我还留了一个备份:www.huarenkids.com/err.htm
: 我把主页换回来后以为就没事了
: 没想到没有那么简单,一个多星期前就已经被上传了一些后门文件
: 所以忙着更换数据库密码,清理修改的文件(已经生成/上传了上千个文件)
: 花了整整两天才弄好
: 欢迎大伙帮忙提建议怎么提高网站安全性
|
s*****l
发帖数: 2041 | 46 嗯,现在把目录属性改了,希望能够挡住黑客的袭击。
【在 g****z 的大作中提到】
: 估计不是密码之类的问题,是你的某个URL接受比如PUT,POST。而你的后台程序未做检
: 测或过滤不接受的request.
|
s*******n
发帖数: 196 | 47 其实大多数网站容易攻破,小网站没精力分析漏洞。最容易的防守就是升级,别偷懒,
【在 s*****l 的大作中提到】
: 真是大意了。其实自己心里知道一个潜在的漏洞,因为是一个小站(才几千号人的网上
: 论坛),就没有管。而且网站只是孩子教育的一些东西,没有什么敏感内容。没想到就
: 因为这个漏洞被黑了。
: 这两天终于把网站恢复过来了,数据库密码等等全都换了。现在才真实的感受到网上黑
: 手无处不在。
: 有人推荐360的网络卫士(漏洞检查)。自己在360测了一下,没有查出什么东西。大家
: 伙都怎么处理网站安全的?
|
s*******n
发帖数: 196 | 48 看你有上传功能,要查看有没可能上传script,可能被reverse shell 了
【在 s*****l 的大作中提到】
: 现在已经恢复了:www.huarenkids.com
: 刚开始只是发现主页被替换了
: 被替换的页面我还留了一个备份:www.huarenkids.com/err.htm
: 我把主页换回来后以为就没事了
: 没想到没有那么简单,一个多星期前就已经被上传了一些后门文件
: 所以忙着更换数据库密码,清理修改的文件(已经生成/上传了上千个文件)
: 花了整整两天才弄好
: 欢迎大伙帮忙提建议怎么提高网站安全性
|
c********1
发帖数: 421 | 49 这些后门文件是如何被成功上传的?又是如何被成功运行的?
哪怕连mitbbs这种技术烂站,都能做到防恶意代码上传并运行
【在 s*****l 的大作中提到】
: 现在已经恢复了:www.huarenkids.com
: 刚开始只是发现主页被替换了
: 被替换的页面我还留了一个备份:www.huarenkids.com/err.htm
: 我把主页换回来后以为就没事了
: 没想到没有那么简单,一个多星期前就已经被上传了一些后门文件
: 所以忙着更换数据库密码,清理修改的文件(已经生成/上传了上千个文件)
: 花了整整两天才弄好
: 欢迎大伙帮忙提建议怎么提高网站安全性
|
s*****l
发帖数: 2041 | 50 升级有个问题就是,如何track改过的东西
【在 s*******n 的大作中提到】
: 其实大多数网站容易攻破,小网站没精力分析漏洞。最容易的防守就是升级,别偷懒,
|
|
|
s*****l
发帖数: 2041 | 51 问题找到了,就是shell的问题(但愿就是这个问题)
【在 s*******n 的大作中提到】
: 看你有上传功能,要查看有没可能上传script,可能被reverse shell 了
|
s*****l
发帖数: 2041 | 52 装的一个插件有漏洞
【在 c********1 的大作中提到】
: 这些后门文件是如何被成功上传的?又是如何被成功运行的?
: 哪怕连mitbbs这种技术烂站,都能做到防恶意代码上传并运行
|
c********1
发帖数: 421 | 53 struts? drupal? magento?
【在 s*****l 的大作中提到】
: 装的一个插件有漏洞
|
s*****l
发帖数: 2041 | 54 呵呵,不是,
是一个shell的漏洞
【在 c********1 的大作中提到】
: struts? drupal? magento?
|
s*******n
发帖数: 196 | 55 尽量不改别人的东西否则无解
【在 s*****l 的大作中提到】
: 升级有个问题就是,如何track改过的东西
|
s*****l
发帖数: 2041 | 56 不改不行啊,他们的bug不会那么及时的出补丁(或者就压根不出)
另外模板的美观等等,都需要修改
【在 s*******n 的大作中提到】
: 尽量不改别人的东西否则无解
|
p*****u
发帖数: 214 | 57 一般都会利用目录具备上传的功能,上传文件,然后运行,好多脚本列举出文件,然后
写入代码,因为每个文件都会有group的读写权限,运行脚本自然也具备同样的功能,
除非你把目录文件改成只读。但有些目录是必须可写的,所以在上传文件过程中一定要
检测文件的内容,可以使用第三方scan,或者malware 工具定期扫描。
【在 s*****l 的大作中提到】
: 不改不行啊,他们的bug不会那么及时的出补丁(或者就压根不出)
: 另外模板的美观等等,都需要修改
|
s*****l
发帖数: 2041 | 58 说的有道理,当时看到一个插件蛮喜欢的,所以就一时大意了
【在 p*****u 的大作中提到】
: 一般都会利用目录具备上传的功能,上传文件,然后运行,好多脚本列举出文件,然后
: 写入代码,因为每个文件都会有group的读写权限,运行脚本自然也具备同样的功能,
: 除非你把目录文件改成只读。但有些目录是必须可写的,所以在上传文件过程中一定要
: 检测文件的内容,可以使用第三方scan,或者malware 工具定期扫描。
|
w*****r
发帖数: 165 | 59 问个外行问题,这要是在AWS或Azure上面host,也很容易被黑吗?谢谢 |
g****z
发帖数: 1135 | 60 这和在哪里host没关系。不管用户上传什么mime type,永远不要把上传的文件save成可
执行脚本extension,比如.php,就可有效防止被黑。
【在 w*****r 的大作中提到】
: 问个外行问题,这要是在AWS或Azure上面host,也很容易被黑吗?谢谢
|
|
|
m**r
发帖数: 60 | 61 或者存到webroot以外的文件夹.
【在 g****z 的大作中提到】
: 这和在哪里host没关系。不管用户上传什么mime type,永远不要把上传的文件save成可
: 执行脚本extension,比如.php,就可有效防止被黑。
|
r***y
发帖数: 4379 | 62 没用的用户一律干掉
要用的用户用复杂密码
ssh改成public key登录
再不行就装个fail2ban 基本上就可以了
最后常更新系统 |
g****z
发帖数: 1135 | 63 但是这样就不能用url访问了,违背了上传的初衷。
【在 m**r 的大作中提到】
: 或者存到webroot以外的文件夹.
|
m**r
发帖数: 60 | 64 再写一个读文件的,送到response stream里面呗.
【在 g****z 的大作中提到】
: 但是这样就不能用url访问了,违背了上传的初衷。
|
t****h
发帖数: 2969 | 65 网站做得真不错,
赞
【在 s*****l 的大作中提到】
: 真是大意了。其实自己心里知道一个潜在的漏洞,因为是一个小站(才几千号人的网上
: 论坛),就没有管。而且网站只是孩子教育的一些东西,没有什么敏感内容。没想到就
: 因为这个漏洞被黑了。
: 这两天终于把网站恢复过来了,数据库密码等等全都换了。现在才真实的感受到网上黑
: 手无处不在。
: 有人推荐360的网络卫士(漏洞检查)。自己在360测了一下,没有查出什么东西。大家
: 伙都怎么处理网站安全的?
|
s*****l
发帖数: 2041 | 66 和host其实没多大关系,
自己做好安全方面的防护就可以了
只不过有些host提供了一些extra保护而已
【在 w*****r 的大作中提到】
: 问个外行问题,这要是在AWS或Azure上面host,也很容易被黑吗?谢谢
|
s*****l
发帖数: 2041 | 67 怎样禁止上传php文件啊?
【在 g****z 的大作中提到】
: 这和在哪里host没关系。不管用户上传什么mime type,永远不要把上传的文件save成可
: 执行脚本extension,比如.php,就可有效防止被黑。
|
g****z
发帖数: 1135 | 68 Know the mime types($_FILES[$tagname]['type']) you expected user to upload,
if
not what you want, ignore or save as default extension, say .png, file.
【在 s*****l 的大作中提到】
: 怎样禁止上传php文件啊?
|
