全国统一咨询电话:4006-138-007         商务渠道合作电话:010-82743368

基本安全防范


  任何一款程序都不可能将代码优化到无懈可击的地步,我们用windows,微软在一直不停更新补丁,我们用杀du软件,厂商一直不停更新病du库,这些更新不仅仅是功能上的更新,更多的是漏洞的修补。siteserverCMS作为一款建站软件,也并不是完美无瑕的,和所有开源以及半开源软件一样,也都或多或少的存在一些安全方面的小问题,一旦某个漏洞被利用,所有使用这套系统的站点都有可能遭受攻击,有的网页挂马,有的数据库被拿走,有的用户信息外泄,有的整个服务器权限都没了……安全攻防是永远都会存在的一个东西。

  下面简单介绍几个安全预防措施。

1.系统隐藏

  软件都有出厂默认设置,siteserver也如此,例如生成目录channels和contents,例如动态内用要调用sitefiles/untils/page.aspx(好像是这个吧,记不清楚了,我一直都用静态生成),那么这个路径就是通用路径,一看就知道是siteserver程序建站,最重要的是你只要用动态,我就能判定siteserver程序就在这台服务器上运行,那么问题来了,加入有一个siteserver通用漏洞,恭喜你的站安全系数就大大降低了。这里我要说的是尽量使用静态,不要使用动态,可在对应站点下找到设置管理——站点设置——高级设置中修改,详见下图

  http://bbs.siteserver.cn/upload/2015/1/t_8121950390.png

  修改栏目页和内容也发布路径可在相应栏目或者内容处修改,见下图:

  http://bbs.siteserver.cn/upload/2015/1/t_8122611834.png

  http://bbs.siteserver.cn/upload/2015/1/t_812263344.png

  也可在设置管理中修改,见下图

  http://bbs.siteserver.cn/upload/2015/1/t_812283119.png

  http://bbs.siteserver.cn/upload/2015/1/t_8122856568.png

  修改后台登陆地址可将系统根目录下的siteserver文件夹修改成你想用的名字(英文数字随便填),这里我简单操作演示修改为1,见下图

  http://bbs.siteserver.cn/upload/2015/1/8123543842.png                             http://bbs.siteserver.cn/upload/2015/1/812362551.png

  然后修改下图所示目录处的config.config文件

  http://bbs.siteserver.cn/upload/2015/1/t_8123051889.png

  将adminDirectory="siteserver"中的siteserver修改成你刚才重新命名的文件夹名称1见下图

  http://bbs.siteserver.cn/upload/2015/1/t_8123727849.png

  http://bbs.siteserver.cn/upload/2015/1/t_8123750402.png

  此时你的后台登陆访问地址就由原来的siteserver变成1了,见下图

  http://bbs.siteserver.cn/upload/2015/1/t_8123959717.png

  这样的话Hacker们就不好找到你的后台地址了。

2.服务器选用

  最好不要选择虚拟主机运行建站后台软件,这个是通用的,不仅限于siteserver软件。虚拟主机是一台服务器虚拟出N多网页空间供用户使用。有很多朋友的网站安全做得很到位了,但还是被人拿了数据或者挂了马,实在排查不出自身问题,就该考虑下是不是你的邻居出了问题。

  例如我有个站放在一个虚拟主机上,我通过查询我自己的网站ip,可获得同IP下的所有网站域名如下图

  http://bbs.siteserver.cn/upload/2015/1/8102335538.png

  那么问题来了,谁能保证这些邻居都是安全的呢?假如他们中某一个站有问题,那么恭喜你也要遭殃了。

  同一服务器下有可能我拿到一个站的权限 ,我就有了整个服务器里面的内容了,例如

  http://bbs.siteserver.cn/upload/2015/1/t_8102826340.png

  上图我们可以清晰的看到wwwroot目录下有9个站,我拿到其中一个的管理权限,其他的站点文件我都能拿到……这里不多说,我要说的是最好是独立服务器,别被邻居给害了。

3.数据库安全

  数据仓库很重要,你所有的用户信息,内容信息,站点信息==都保存在这里,所以一旦数据库密码泄露了……(虚拟机另当别论,因为虚拟机的数据库很可能都是IDC服务商做好了分配给你固定的),在服务器配置(VPS和云机)教程中我提过避免使用sa用户,这个我觉得一定有必要这么做,别嫌麻烦,因为sa用户的权限太高了。下图就是我拿到一个sa账户的密码得到的东西,不多说自己 看

  http://bbs.siteserver.cn/upload/2015/1/813457771.png

  http://bbs.siteserver.cn/upload/2015/1/8134523944.png

  图中我划掉的部分就是该sa下的所有数据库,看见下面的图我和我的小伙伴都惊呆了……

  http://bbs.siteserver.cn/upload/2015/1/t_8135331193.png

  这里特别是那些单位学校做站群的筒子们,一定要注意,别那么懒……