dedecms漏洞,網(wǎng)站建設(shè)中應(yīng)該注意哪些問題?
網(wǎng)站安全防護(hù),作為一個(gè)復(fù)雜性、多方面、最重要的一項(xiàng)工程,上至國家安全,小到個(gè)人博客,無一幸免都會受到威脅。比如競爭最為激烈的游戲行業(yè),從PC端到移動端攻擊無處不在。趨于利益的誘惑,貿(mào)然搭建棋牌網(wǎng)站,對網(wǎng)站的系統(tǒng)、業(yè)務(wù)安全沒有做好防護(hù),遭受到DDoS攻擊就束手無策了。損失無法避免,況且9成以上的網(wǎng)站攻擊是通過海外服務(wù)器發(fā)起的,前期購買:百度CDN、加速樂、安全狗等產(chǎn)品有效,后期對于網(wǎng)站安全防護(hù)可能無能為力。
一、網(wǎng)站安全措施不足的原因①、魔高一尺道高一丈,互聯(lián)網(wǎng)技術(shù)發(fā)展迅猛,黑客攻擊技術(shù)也愈加精進(jìn),普通用戶網(wǎng)站防不勝防。保護(hù)web服務(wù)器的安全,可以安裝一款好用的web應(yīng)用防火墻,設(shè)定專門的防護(hù)策略,保護(hù)應(yīng)用層免受攻擊,減少漏洞和威脅。;
②、很多網(wǎng)站為了追求更多的交互效果,滿足用戶體驗(yàn),越復(fù)雜的程序,存在的漏洞越多。偶爾不關(guān)注安全代碼,網(wǎng)站設(shè)計(jì)開發(fā)者、維護(hù)人員一不留神就會被盯上;
③、大部分游戲服務(wù)器前期沒有做好預(yù)備帶寬,而DDoS 使用UDP報(bào)文、TCP報(bào)文攻擊游戲服務(wù)器的帶寬,攻擊十分暴力,致使服務(wù)器帶寬劇增,結(jié)果就是服務(wù)器擁塞,玩家訪問不了服務(wù)器。提供按需保護(hù)或永遠(yuǎn)保護(hù)的功能,自動檢測和減輕針對網(wǎng)站和Web應(yīng)用程序的攻擊。還可以保護(hù)DNS服務(wù)器免受網(wǎng)絡(luò)層和應(yīng)用層攻擊。全方面維護(hù)網(wǎng)絡(luò)安全。
④、大部分網(wǎng)站對流量攻擊是無法防御的,黑客通過TCP協(xié)議的漏洞,利用海量真實(shí)肉雞向服務(wù)器發(fā)起TCP請求,如果你的服務(wù)器只能接收2000個(gè)/秒左右,突然遇到遇到20w個(gè)TCP請求,服務(wù)器TCP隊(duì)列占滿,CPU升高、內(nèi)存過載,造成服務(wù)器宕機(jī),而且這種攻擊的流量很小,和你真實(shí)業(yè)務(wù)一致,難以發(fā)現(xiàn)又很難防御。
⑤、除了以上幾種,跟多的是:數(shù)據(jù)庫信息泄漏、域名泛解析、301跳轉(zhuǎn)等非常有針對性的攻擊, 目前,網(wǎng)站只有做好基礎(chǔ)的安全防護(hù):有條件就采用云計(jì)算或服務(wù)器托管的方式保證服務(wù)器安全,互聯(lián)數(shù)據(jù)網(wǎng)絡(luò)專線也是不錯(cuò)的選擇。如果突然出現(xiàn)網(wǎng)站被攻擊的現(xiàn)象,做好網(wǎng)站定期備份是非常重要的。
由于網(wǎng)站安全的復(fù)雜性,安全防護(hù)更加復(fù)雜,僅僅依靠單一的產(chǎn)品或者統(tǒng)一的服務(wù)無法從根本上解決網(wǎng)站安全問題。但是只要我們認(rèn)識到網(wǎng)站安全的重要性,針對性的進(jìn)行防護(hù)還是能夠解決相當(dāng)部分的安全問題,行業(yè)除了選擇“香港高防服務(wù)器”,還可以從下面6個(gè)角度講解下如何進(jìn)行網(wǎng)站安全防護(hù):
二、網(wǎng)站安全加固防護(hù)的方法1、域名解析的網(wǎng)站防護(hù):域名泛解析是導(dǎo)致域名解析時(shí)間長、解析錯(cuò)誤、非法劫持的主要原因。大多數(shù)企業(yè)和個(gè)人隨便將域名托管到一些免費(fèi)域名解析平臺上進(jìn)行解析。這里小編推薦一些知名的域名服務(wù)商,如萬網(wǎng)、新網(wǎng)、互聯(lián)數(shù)據(jù)等,這些多是十多年的域名服務(wù)商,解析安全穩(wěn)定,出現(xiàn)穩(wěn)定的概率較小。
2、服務(wù)器安全防護(hù):任何網(wǎng)站防護(hù)多是首先針對服務(wù)器進(jìn)行的,獨(dú)立服務(wù)器、云主機(jī)雖然是不錯(cuò)的選擇,但也最容易遭受攻擊,網(wǎng)站打開很慢,服務(wù)器流量很大,就表示,你的服務(wù)器可能被人攻擊。你可以在服務(wù)器上安裝安全狗、360網(wǎng)站衛(wèi)士等相關(guān)軟件,就像我們個(gè)人電腦一樣定期掃描、查殺。
3、網(wǎng)站安全防護(hù):服務(wù)器安全防護(hù)可以保護(hù)整個(gè)服務(wù)器的安全,但是針對每個(gè)網(wǎng)站,安全策略肯定不一樣,所以這時(shí)候如果還有攻擊的話,請針對網(wǎng)站再進(jìn)行如iis防護(hù)的網(wǎng)站安全防護(hù)。這時(shí)候可以安裝一些網(wǎng)站安全軟件或者通過防火墻等進(jìn)行安全防護(hù)。特別是dedecms一定要進(jìn)行安全防護(hù)。
4、網(wǎng)站后臺安全防護(hù):這個(gè)在我們學(xué)習(xí)建站的時(shí)候多經(jīng)常被提醒,像織夢等免費(fèi)網(wǎng)站程序,我們安裝的時(shí)候默認(rèn)后臺:域名/dede/和賬號密碼都是默認(rèn)admin,這樣方便了自己也方便了別人,造成網(wǎng)站后臺被盜進(jìn)行掛馬。為了保護(hù)網(wǎng)站后臺的安全,需要更改賬號密碼、修改文件夾名字。
5、網(wǎng)站代碼安全防護(hù):如果你的網(wǎng)站程序是自己一個(gè)代碼一個(gè)代碼敲出來的,一定要注意代碼安全,一定要檢查程序漏洞,只有彌補(bǔ)好漏洞才能減少攻擊。特別是對一些網(wǎng)上流行的網(wǎng)站系統(tǒng),在編寫或者開發(fā)的時(shí)候,一定要注意修復(fù)網(wǎng)站系統(tǒng)存在漏洞。
6、網(wǎng)站加速防護(hù):網(wǎng)站首次遭受攻擊可以使用云加速,百度云加速、360DNS、互聯(lián)數(shù)據(jù)CDN加速等,因?yàn)槊赓M(fèi)的加速防護(hù)基本上沒用了,而且加速后網(wǎng)站部分地區(qū)打不開,所以如果有需要的企業(yè)或者網(wǎng)站請選擇付費(fèi)型加速產(chǎn)品,切記遭受攻擊才使用加速服務(wù)。
不法分子是如何侵入網(wǎng)站的?
黑客們?nèi)肭志W(wǎng)站普遍的手法/流程
1、信息收集
Whois 信息--注冊人、電話、郵箱、DNS、地址
Googlehack--敏感目錄、敏感文件、更多信息收集
服務(wù)器 IP--Nmap 掃描、端口對應(yīng)的服務(wù)、C 段
旁注--Bing 查詢、腳本工具
如果遇到 CDN--Cloudflare(繞過)、從子域入手(mail,postfix)、DNS 傳送域漏洞
服務(wù)器、組件(指紋)--操作系統(tǒng)、web server(apache,nginx,iis)、腳本語言
通過信息收集階段,攻擊者基本上已經(jīng)能夠獲取到網(wǎng)站的絕大部分信息,當(dāng)然信息收集作為網(wǎng)站入侵的第一步,決定著后續(xù)入侵的成功。
2、漏洞挖掘
探測 Web 應(yīng)用指紋--Discuz、PHPwind、Dedecms、Ecshop...
XSS、CSRF、XSIO、SQLinjection、權(quán)限繞過、任意文件讀取、文件包含...
上傳漏洞--截?cái)唷⑿薷摹⒔馕雎┒?/p>
有無驗(yàn)證碼--進(jìn)行暴力破解
經(jīng)過漫長的一天,攻擊者手里已經(jīng)掌握了你網(wǎng)站的大量信息以及不大不小的漏洞若干,下一步他們便會開始利用這些漏洞獲取網(wǎng)站權(quán)限。
3、漏洞利用
思考目的性--達(dá)到什么樣的效果
隱藏,破壞性--根據(jù)探測到的應(yīng)用指紋尋找對應(yīng)的 EXP 攻擊載荷或者自己編寫
開始漏洞攻擊,獲取相應(yīng)權(quán)限,根據(jù)場景不同變化思路拿到 webshell
4、權(quán)限提升
根據(jù)服務(wù)器類型選擇不同的攻擊載荷進(jìn)行權(quán)限提升
無法進(jìn)行權(quán)限提升,結(jié)合獲取的資料開始密碼猜解,回溯信息收集
5、植入后門
隱蔽性
定期查看并更新,保持周期性
6、日志清理
偽裝性,隱蔽性,避免激警他們通常選擇刪除指定日志
根據(jù)時(shí)間段,find 相應(yīng)日志文件
太多太多。。。
說了那么多,這些步驟不知道你看懂了多少?其實(shí)大部分的腳本小黑顯然不用這些繁瑣的步驟,他們只喜歡快感!通常他們會使用各種漏洞利用工具或者弱口令(admin,admin888)進(jìn)行攻擊,入侵無果就會選擇睡覺、打飛機(jī)或者去做一些其他的事情。當(dāng)然,這種“黑客”僅僅是出于“快感”而去想入侵你的網(wǎng)站,如果是別有它意的人,麻煩就來了。
你會擔(dān)心云服務(wù)器安全嗎?
會有危險(xiǎn)
我的服務(wù)器是騰訊云的(1塊錢一個(gè)月)的學(xué)生服務(wù)器,上面跑著我的小博客,今年八月完成了服務(wù)器的docker化,用nginx-proxy完成反向代理和套https。我今天dump下了它的日志,準(zhǔn)備看一下日志中有多少有趣的東西。
日志文件的大小足足有16M大,也許幾張高清大圖的大小遠(yuǎn)超16M,但是這可是純文本文件啊。為了分析方便我使用腳本將日志文件分字段拆分插入了mariadb數(shù)據(jù)庫,方便以后分析查詢。
由于使用了nginx-proxy容器作為反向代理,只有以正確的域名訪問我的服務(wù)器才會得到正確的響應(yīng),通過ip訪問或者通過錯(cuò)誤的域名訪問統(tǒng)統(tǒng)503。沒想到這個(gè)不太刻意的設(shè)置居然成了我的服務(wù)器的第一道防火墻。
把服務(wù)器日志導(dǎo)入數(shù)據(jù)庫,大概濾掉正常的請求,首先看到的是師傅們掃目錄的記錄。
這些請求全部來自一個(gè)香港的IP(大概是個(gè)vps),這些大概是掃描服務(wù)器中的webshell(webshell是可以通過web直接操作服務(wù)器的后門,可以說是一種木馬),也有的是掃描wp-config.php這樣的WordPress配置文件,一般沒有什么危害,只是作為信息收集。
繼續(xù)往下看我們發(fā)現(xiàn)了更有趣的東西:有4834條記錄與phpmyadmin的掃描有關(guān)。我們知道phpmyadmin是一個(gè)很好用的類MySQL數(shù)據(jù)庫的管理前端,很多學(xué)藝不精的程序員很喜歡用它管理數(shù)據(jù)庫,大大咧咧的把它放在了根目錄,再配以祖?zhèn)鞯娜趺艽a。被拖庫只是時(shí)間和運(yùn)氣問題。這些流量有來自香港,福建,也有北京。
是不是所有掃描都是那么簡單粗暴呢,并沒有,我們注意了這位師傅的掃描記錄:
風(fēng)格一改其他師傅簡單粗暴的風(fēng)格,懷著好奇心我們搜尋了一下這些請求背后的故事。
第一個(gè)payload針對的是織夢cms(Dedecms)的任意文件上傳漏洞,這已經(jīng)是一個(gè)老漏洞了,黑客可以利用這個(gè)漏洞上傳webshell木馬什么的,最終控制服務(wù)器。
第三個(gè)payload(xycms)針對的是xycms咨詢公司建站系統(tǒng)的漏洞(都不能叫漏洞了),直接把數(shù)據(jù)庫放在了web目錄下,真正實(shí)現(xiàn)一鍵拖庫。
(廠商忽略此漏洞可真是太蠢了)
下一個(gè)漏洞又是織夢cms的,就是那個(gè)download.php和ad_js的。這是一個(gè)2013年的高危漏洞,因?yàn)樽兞课幢徽_初始化, 黑客可以通過一套花里胡哨的操作執(zhí)行sql注入,并且還能通過一個(gè)程序把數(shù)據(jù)庫中的內(nèi)容寫入文件,最終通過一套連環(huán)操作在服務(wù)器中留下后門。
下一個(gè)是個(gè)新漏洞,這個(gè)高危漏洞今天7月才被爆出,可以遠(yuǎn)程執(zhí)行代碼,來自Modx Revolution
漏洞全來自php?并沒有,我們注意到這樣一條記錄:
此攻擊針對的是巨硬家IIS 6.0的一個(gè)安全漏洞,這是一個(gè)利用緩存區(qū)溢出的高危漏洞,可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
還有一些利用Weblogic的新洞(CVE-2018-3252),Apache Struts2的漏洞(CVE-2017-5638)的payload我在這里就不再列舉了。當(dāng)然當(dāng)然,最有意思的還屬最后一個(gè)payload:
這個(gè)payload罕見的附上了用戶名,我們在網(wǎng)上搜索和這個(gè)payload相關(guān)信息的時(shí)候發(fā)現(xiàn),這并不是一個(gè)針對服務(wù)器的攻擊payload,而是針對一些物聯(lián)網(wǎng)設(shè)備,比如說……攝像頭。
hi3510是海思公司推出的一款視頻壓縮芯片,主要用于攝像頭,我們找到了一份IP Camera CGI的應(yīng)用指南,找到了相對應(yīng)的命令用法:
但是我們并沒有在網(wǎng)上搜索到相關(guān)的漏洞,但是發(fā)現(xiàn)很多網(wǎng)站的日志中都存在這條記錄
所以這極有可能是一個(gè)還沒有公開的,物聯(lián)網(wǎng)中攝像頭中存在的漏洞。所以,有師傅日了攝像頭當(dāng)肉雞看起來并不是傳言。
然而,上面分析的這些,也只是黑客黑產(chǎn)冰山上的小冰渣。現(xiàn)實(shí)比這要嚴(yán)重的多,也許黑客在黑市中販賣著你的隱私,你的服務(wù)器,而你卻渾然不知。
織夢與帝國那個(gè)程序好用?
入手:從入手方面來說,織夢更占優(yōu)勢,簡單易用。帝國相對來說入手難些,有靈動標(biāo)簽和萬能標(biāo)簽以及其他標(biāo)簽之分,很多新手不太適應(yīng)做站的效率:對于新手來說,織夢套模板似乎更簡單,而帝國可能需要熟悉萬能和靈動標(biāo)簽用法,相對難記生成:感覺織夢用來做一些企業(yè)站還是很好的,但是用來做信息量大的門戶站之類的,真不行,信息量多了以后,生成速度比帝國慢很多。
安全性:這個(gè)織夢真心沒法和帝國比,織夢頻繁更新各種安全補(bǔ)丁,但是帝國就是有特別大的漏洞,而且帝國模板都是存放在數(shù)據(jù)庫,所以也不會存在被下載的問題
值得推薦的開源PHPCMS系統(tǒng)有哪些?
分享個(gè)開源項(xiàng)目快速開發(fā)框架,采用spring cloud alibaba +nacos +vue的 技術(shù)棧,實(shí)現(xiàn)了大部分
釘釘宜搭的快速開發(fā)功能,很值得借鑒下。這是在git上開源的快速開發(fā)項(xiàng)目,項(xiàng)目采用微服務(wù)為基礎(chǔ)的腳手架,包括流程、表單、列表、圖表、應(yīng)用等多個(gè)界面化的配置引擎。項(xiàng)目介紹:**JVS的核心目標(biāo):**讓中小型開發(fā)團(tuán)隊(duì)過得輕松一點(diǎn),優(yōu)化開發(fā)團(tuán)隊(duì)人力成本高、交付效率低、質(zhì)量不可控、周期不確定、基礎(chǔ)技術(shù)投入不足、高端技術(shù)支持不夠等JVS是面向軟件開發(fā)團(tuán)隊(duì)可以快速實(shí)現(xiàn)應(yīng)用的基礎(chǔ)開發(fā)框架,采用微服務(wù)分布式框架,提供豐富的基礎(chǔ)功能,集成眾多業(yè)務(wù)引擎,它靈活性強(qiáng),界面化配置對開發(fā)者友好,底層容器化構(gòu)建,集合持續(xù)化構(gòu)建。項(xiàng)目標(biāo)簽低代碼、微服務(wù)、支持SaaS、私有化部署、DevOps、開源項(xiàng)目地址框架前端地址:https://gitee.com/software-minister/jvs-ui框架后端地址:https://gitee.com/software-minister/jvs快速安裝地址:JVS/jvs-docker-compose體驗(yàn)地址:http://frame.bctools.cn/#/login登陸可以通過微信掃碼登陸,對于配置數(shù)據(jù),請各位技術(shù)同學(xué)手下留情。部署文檔https://gitee.com/software-minister/jvs-docker-compose/blob/master/readme.md**物理拓?fù)洌?/p>技術(shù)文檔地址(微信登陸可查看):技術(shù)棧說明:系統(tǒng)部分截圖:登陸頁面配置化首頁系統(tǒng)基礎(chǔ)信息設(shè)置框架基礎(chǔ)功能應(yīng)用創(chuàng)建列表配置流程配置表單配置圖表配置邏輯配置demo環(huán)境:http://frame.bctools.cn/#/login開源地址:https://gitee.com/software-minister/jvs如果還有其他的疑問,可以私信