首页 > 其他分享 >两步解决网站老是被上传木马后门问题

两步解决网站老是被上传木马后门问题

时间:2024-11-04 14:21:59浏览次数:4  
标签:后门 在线 模块 老是 黑客 木马 上传

站长朋友们,基本上都遭遇过网页木马和网站后门吧!

其中最出名的当属“一句话木马”,因为非常简短,真的只有一句话(如下图),并且一般都嵌入到网站正常代码内,让人难以察觉。

1.png

(图一:一句话木马)

 

黑客入侵服务器往往都会先入侵网站,植入木马后门,再通过该木马后门进一步窃取服务器权限。

黑客植入木马后门主要有以下几种途径:在线上传漏洞、FTP信息泄露、跨站入侵。其中在线上传漏洞是最常用的途径,占比高达90%以上。

 

那么如何解决黑客上传木马后门呢?

删除在线上传模块?这肯定是最彻底的方法,没有在线上传功能的网站,被植入木马后门的几率几乎为零。不过这样操作会影响网站日常管理,反而并非最好的办法。

 

其实要防范木马后门,非常简单,只需做好以下两步:

1、 从物理层面限制,只允许管理员使用在线上传功能

2、 从物理层面限制,禁止上传PHP、ASP、ASP.net等动态脚本文件

 

一、从物理层面限制,只允许管理员使用在线上传功能

之所以加 “物理层面”,是因为有的管理员以为通过后台限制使用在线上传功能就可以了,这就大错特错了。

黑客是利用在线上传漏洞实施的入侵,因此即使后台管理权限关闭了在线上传功能,但对黑客丝毫不影响。

要从物理层面限制,即需要在网站外加一层防护限制。上传文件一般都存放在后台目录内,我们可以通过“护卫神.防入侵系统”的“网站后台保护”模块进行限制(如下图)。

2.png

(图二:护卫神.防入侵系统的网站后台保护模块)

 

我们只需要把后台地址和上传文件地址填写到保护框内,再设置一下“授权密码”就可以了。此时访问在线上传模块时会被拦截,必须先输入“授权密码”才能继续操作(如下图)。黑客自然是不知道授权密码的,也就从物理层面杜绝了黑客利用上传漏洞。

3.png

(图三:访问后台被拦截,必须输入授权密码方可继续)

 

为了方便使用,您可以为所在城市整体授权(黑客和您同城的几率非常非常低)。如图二的设置,成都地区用户访问后台不需要任何验证,非成都地区的用户必须输入授权密码才能访问。

 

 

二、从物理层面限制,禁止上传PHP、ASP、ASP.net等动态脚本文件

在线上传模块一般都有限制上传文件类型的功能,但往往也对黑客无效。

因此我们需要使用“护卫神.防入侵系统”的“篡改防护”模块,从底层驱动限制保存的文件类型,让黑客无机可乘。如下图的设置,禁止写入php文件,即使黑客可以上传木马后门,但是保存时也会被拦截。最主要的,一点不影响日常管理。

 

4.png

(图四:篡改防护高级规则,禁止上传、修改php文件)

 

 

为了方便广大用户更简单的使用篡改防护模块,系统内置了大部分CMS的防篡改规则模板,您只需要在“添加CMS防护”里面选择网站路径、安全模板和后台地址,系统就会自动配置强大的篡改防护规则(如下图)。

5.png

(图五:添加CMS篡改防护规则)

 

 

通过上述两步防护设置,黑客再想植入木马后门可能性就为零了,是不是很简单?

同时您也可以继续加固网站安全,比如通过 “木马防护”模块,自动查杀木马后门文件。以及通过“静态目录防护”模块,禁止存放上传文件的目录执行动态脚本(此功能已默认开启)。解决存量木马后门的破坏能力。

标签:后门,在线,模块,老是,黑客,木马,上传
From: https://www.cnblogs.com/huweishen/p/18525129

相关文章

  • 如何使用git将自己的代码上传到别人的gitee仓库
    1、git与gitee的关系1.Git是版本控制系统,它是一个本地工具,用于在开发者的计算机上跟踪和管理代码的历史记。2.Gitee是一个基于云的平台,类似于GitHub,它托管了数百万个Git存储库,开发者可以将他们的Git项目上传到Gitee以与其他人共享和协作。Gitee提供了一个可视化的界面和一......
  • ctf文件上传题小总结与记录
    解题思路:先看中间件,文件上传点(字典扫描,会员中心),绕过/验证(黑名单,白名单),解析漏洞,cms,编辑器,最新cve文件上传漏洞一般危害高先看中间件,看有没有已经公布的漏洞,找文件上传点,试它的验证模式(黑白名单,后缀名,文件类型(MIME),文件头(png等文件有固定文件头))看能不能上传.htaccess文件,将其他......
  • 文件上传靶场1-21
    Pass-01(前端验证)因为是进行前端JS校验,因此可以直接在浏览器检查代码把checkFile()函数(即如下图红色框选中的函数)删了或者改成true,并按回车,即可成功上传php文件源码functioncheckFile(){varfile=document.getElementsByName('upload_file')[0].value;if(......
  • 上传网站文件至云虚拟主机后提示文件大小为0 KB
    使用FileZilla工具成功连接云虚拟主机后,网站文件上传到主机站点时,提示传输的文件大小为0KB。具体错误信息显示已传输0个文件且文件大小为0字节,表示传输的文件大小为0KB。问题原因该问题是由于云虚拟主机空间已占满导致的。当云虚拟主机的空间已满时,无法成功上传新的文件。解......
  • IntelliJ IDEA 中上传项目到 Gitee 的完整指南
    博主主页:【南鸢1.0】本文专栏:git目录简介1.插入intellij-gitee2.导入下载插件3.选择导航栏中的VCS->ShareProjectonGitee4.登录gitee6.验证gitee仓库是否创建成功7.上传分享项目8.验证仓库代码是否上传成功总结简介Gitee是一个代码托管平台,类似于GitHub......
  • 如何使用GitHub上传文件
    使用GitHub上传文件的方法:1.创建GitHub仓库;2.使用GitHubDesktop上传文件;3.使用命令行上传文件;4.检查GitHub仓库。在开始之前,您需要一个GitHub账号。如果还没有账号,您可以在GitHub官方网站上注册一个。1.创建GitHub仓库在开始之前,您需要一个GitHub账号。如果还没有账号,您可以......
  • ctfshow web入门 文件上传
    CtfshowWeb入门151 查看源代码,发现只能上传.png的文件用bp抓包.png的图片格式添加一句话木马,文件格式修改成.php   对于上传成功的后门代码,直接通过hackbar发送post包利用php内置system()函数执行  查看flag.php文件   152和上一题做题步骤一样......
  • 辽宁软考报名上传照片需求
    各位考生注意啦!软考报名上传照片是有一定要求规范的,我们来看看辽宁软考照片上传要求吧!以免照片审核不通过。考生须上传本人近期标准彩色证件照,白色背景,面部正面头发不得过眉、露双耳,照片清晰、容易辨认。照片格式要求为jpg,文件大于30k,大于295×413像素。生活照、艺术照、视频捕捉、......
  • 键盘监听木马实验
    成绩《实验4:键盘监听木马实验》报告目录《实验4:键盘监听木马实验》报告 1一、实验目标 3二、实验工具 3三、实验内容 31.编写一个键盘监听木马 31.C#全局键盘监听(Hook)的使用 32.键盘记录木马源代码 33.键盘记录木马制作(易语言版) 3四、实验结果 4五、实验代码 5//安装钩......
  • PbootCMS如何实现上传的文件使用原名称
    打开 \core\function\file.php,找到:$file_ext=strtolower(end($file));//获取扩展在其下一行增加:$file_truename=$file[0];//获取文件真实名称继续在此文件里找到:$file_path=$save_path.'/'.$file_type.'/'.date('Ymd').'......