關鍵字描述：欺騙 網站 防止 " 文件 < 目錄 修改 程序

大家好！　

網站被掛馬的路徑有多種，如程序方面的漏洞引起，ＩＩＳ掛馬，arp欺騙,sql數(shù)據庫漏洞等!

１．程序方面：

首先就要保證程序已打上官方發(fā)布的所有最新補丁，及時升級到最新版本．如果之前已經中過馬，單打上補丁還是不行，必須把這個放馬的后門（木馬文件）找出來，如利用http://down.chinaz.com/soft/19730.htm這個工具來查找．只有真正的把木馬文件找出來并刪除了，才算安全！(小提示：如果在你的網站上找不到木馬文件，很有可能就是通過服務器漏洞來掛馬)

接下來說說程序的安全設置(針對kesioncms系統(tǒng))：

a、修改默認數(shù)據庫名稱

如果你的網站用的是acces數(shù)據庫，一定要把默認的數(shù)據庫名稱改掉(科汛默認data/KesionCMS4.mdb),改成asp,asa,config擴展名等，如kesion!@#!!.asa 以防止數(shù)據庫被下載．

相應的要改下conn.asp里的數(shù)據庫路徑，程序才能運行

DBPath = "/KS_Data/KesionCMS4.mdb" '改成你修改后的數(shù)據庫名稱 如/ks_data/kesion!@#!!.asa

b、啟用認證碼，并修改默認的認證碼為你自己設置

具體修改方法，請打開admin/chkcode.asp ,

Const EnableSiteManageCode = True '是否啟用后臺管理認證碼 是： True 否： False
Const SiteManageCode = "8888" '后臺管理認證碼，請修改，這樣即使有人知道了您的后臺用戶名和密碼也不能登錄后臺

根據提示，設置相應的認證碼，請一定要把默認的改掉！否則啟不到作用。另外有些用戶喜歡將認證碼取為和網站域名一樣，這樣也不是很安全，容易被不法分子猜到。

c、修改后臺管理目錄

科汛默認的管理目錄是admin，為了安全起見，建議把它改掉,改了管理目錄以后需要到后臺基本信息設置->其它選項里也改一下

后臺管理目錄：/Admin 改成和你設置的目錄一致！否則可能導致后臺有些功能無法使用。

d、修改默認管理用戶名，密碼

科汛初始用戶名admin　密碼admin888 ，請一定要改掉！

e、目錄安全設置(也是比較關鍵的一步)

　注意有些目錄不要給太大的權限，比如upfiles設置為不允許執(zhí)行asp，F(xiàn)riendLink,GuestBook,Images,ks_cls,user等不給修改權限

　再比如你的網站是啟用了生成靜態(tài)功能，并且都生成在html目錄，那么只需要給html目錄及根目錄(生成網站首頁需要有修改權限),上傳目錄(upfiles)等具有修改權限，其它目錄都可以禁止修改！

　科汛程序如果其它目錄不給修改權限，可能需要稍改兩個文件

一個是ks_cls/ks.managecls.asp

找到Sub ClassAction(ChannelID)

exit sub
Response.Write "<iframe src=""KS.ClassMenu.asp?action=Create"" frameborder=""0"" width=""0"" height=""0""></iframe>"
#p# 關鍵字描述：欺騙 網站 防止 " 文件 < 目錄 修改 程序

加上紅色的字，讓添加／修改欄目時不要自動生成搜索文件search.js，這樣才不會因權限不夠而提示出錯

另一個是admin/ks.system.asp(當ks_inc目錄禁止修改里需要修改如下代碼)

找到如下

RS("TBSetting")=ThumbSetting
RS.Update

Dim FSO, FileObj, FileStreamObj,FileContent,FileName
Set FSO = CreateObject(KS.Setting(99))
FileName = Server.MapPath("../KS_Inc/ajax.js")
Set FileObj = FSO.GetFile(FileName)
Set FileStreamObj = FileObj.OpenAsTextStream(1)
If Not FileStreamObj.AtEndOfStream Then
FileContent = FileStreamObj.ReadAll
FileContent=GetAjaxInstallDir(FileContent,installdir)
Set FileObj = FSO.CreateTextFile(FileName, True)
FileObj.Write FileContent
End If
Set FSO = Nothing:Set FileObj = Nothing:Set FileStreamObj = Nothing

這個是自動獲取安裝目錄，自動修改ks_inc/ajax.js的里安裝目錄文件，也可以需要刪除！

f、如果你的網站標簽沒有啟用ajax輸出，可以把ks_inc/ajax.js文件刪除

　打開文件ks_cls/ks.rcls.asp, 并找到

Function Published()
On Error Resume Next
Published=vbcrlf &"<script src=""" & domainstr & "ks_inc/ajax.js""></script>" & vbcrlf
If SysVer = 0 Then

把紅色的刪除，并所有頁面重新生成，即不會調用到ajax.js

　另一種方法是改ajax.js文件名（根據目前發(fā)現(xiàn)很多用戶的網站被掛都是出現(xiàn)在ajax.js），可以嘗試改這個文件名稱。如ajax2008.js等。

g、一個網站程序安裝了其它程序的插件

如果你的程序并非只裝有一個科汛程序，比如還裝一些論壇程序，博客程序。這種情況也有可能會導致科汛程序被掛馬。

h、刪除不想要用的科汛插件或程序

　科汛程序的插件都放在plus目錄下，如果你覺得這些插件沒有什么作用，你可以嘗試刪除

　科汛最新版里的plus主要有三個目錄可以刪除,cc,sk_cj,wss,需要注意的是刪除cc需要修改編輯器的一個文件,不然可能導致科汛自帶的編輯器無法使用。具體文件在ks_cls/ks.editorcls.asp

打開文件并找到

<!--#Include File="../Conn.asp"-->
<!--#include file="../plus/cc/config.asp"-->
<%
'****************************************************
刪除上面紅色的，并繼續(xù)往下找到

ButtonArr(2,31)="<td><object width='86' height='22'><param name='wmode' value='transparent' /><param name='allowScriptAccess' value='always' /><param name='movie' value='http://union.bokecc.com/flash/plugin_" & buttonstyle & ".swf?userID=" & userid & "&type=kesioncms' /><embed src='http://union.bokecc.com/flash/plugin_" & buttonstyle & ".swf?userID=" & userid & "&type=kesioncms' type='application/x-shockwave-flash' width='86' height='22' allowFullscreen=true ></embed></object></td>"
#p# 關鍵字描述：欺騙 網站 防止 " 文件 < 目錄 修改 程序

改成

ButtonArr(2,31)="<td></td>"

　　還有一個文件是ks_inc/online.asp，這是站點計數(shù)器的文件，如果你沒有用到，也可以刪除.

2、服務器方面

排除程序方面，就有可能是服務器安全方面的漏洞了。比如iis掛馬，arp期騙掛馬。這里你如果是自己的服務器就得注意做好服務器安全工作，如打上iis的所有最新補丁，裝arp防火墻等等

以下給出幾個常見可能的掛馬方法及處理方法

1、服務器所在網絡有ARP病毒（不一定要服務那臺機器中了才會有，網內其他機中IIS出去的網頁都會中招），打ARP免疫補丁，裝ARP防火墻，殺毒軟。
2、服務器主機中了病毒，系統(tǒng)多出未知進程。
3、病毒加在IIS 的ISAPI擴展，此處多出一項啟動狀態(tài)的未知道擴展，停止IIS，找到它相關的文件刪除，重啟IIS一般能解決。
4、配置文件掛馬

%windir%\system32\inetsrv\MetaBase.xml 這文件里面有類似的：DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm" iisstart.htm文件內有病毒代碼。刪除它一般就能解決。

相關文章：解決網站iframe掛馬方法

最新評論