dedecms子目錄，織夢(mèng)后臺(tái)如何去掉a目錄a目錄層級(jí)深了？

如果你沒(méi)有建立欄目的情況下來(lái)到織夢(mèng)后臺(tái)點(diǎn)擊系統(tǒng)選項(xiàng)，系統(tǒng)基本參數(shù)，站點(diǎn)設(shè)置，找到文檔HTML默認(rèn)保存路徑：把/a變成/，以后生成的路徑就是根目錄了，已經(jīng)建立的目錄可以直接更改到根目錄下

織夢(mèng)首頁(yè)在根目錄下有一個(gè)indexphp的文件控制？

沒(méi)有什么內(nèi)頁(yè)不內(nèi)頁(yè)，index.php只是個(gè)入口，首頁(yè)的內(nèi)容在模板目錄里的index.htm里。

dede手機(jī)站和仿pc站是一樣的嗎？

不一樣，但是也簡(jiǎn)單。常用調(diào)用標(biāo)簽和pc站點(diǎn)相同，鏈接用動(dòng)態(tài)。先看根目錄下有無(wú)m文件夾，如果沒(méi)有，去官網(wǎng)下載最新版本。手機(jī)版模板和pc模板同目錄，pc模板名稱后_m就是手機(jī)版模板。訪問(wèn)域名/m即手機(jī)版。

你會(huì)擔(dān)心云服務(wù)器安全嗎？

會(huì)有危險(xiǎn)

我的服務(wù)器是騰訊云的（1塊錢一個(gè)月）的學(xué)生服務(wù)器，上面跑著我的小博客，今年八月完成了服務(wù)器的docker化，用nginx-proxy完成反向代理和套https。我今天dump下了它的日志，準(zhǔn)備看一下日志中有多少有趣的東西。

日志文件的大小足足有16M大，也許幾張高清大圖的大小遠(yuǎn)超16M，但是這可是純文本文件啊。為了分析方便我使用腳本將日志文件分字段拆分插入了mariadb數(shù)據(jù)庫(kù)，方便以后分析查詢。

由于使用了nginx-proxy容器作為反向代理，只有以正確的域名訪問(wèn)我的服務(wù)器才會(huì)得到正確的響應(yīng)，通過(guò)ip訪問(wèn)或者通過(guò)錯(cuò)誤的域名訪問(wèn)統(tǒng)統(tǒng)503。沒(méi)想到這個(gè)不太刻意的設(shè)置居然成了我的服務(wù)器的第一道防火墻。

把服務(wù)器日志導(dǎo)入數(shù)據(jù)庫(kù)，大概濾掉正常的請(qǐng)求，首先看到的是師傅們掃目錄的記錄。

這些請(qǐng)求全部來(lái)自一個(gè)香港的IP（大概是個(gè)vps），這些大概是掃描服務(wù)器中的webshell（webshell是可以通過(guò)web直接操作服務(wù)器的后門，可以說(shuō)是一種木馬），也有的是掃描wp-config.php這樣的WordPress配置文件，一般沒(méi)有什么危害，只是作為信息收集。

有4834條記錄與phpmyadmin的掃描有關(guān)。我們知道phpmyadmin是一個(gè)很好用的類MySQL數(shù)據(jù)庫(kù)的管理前端，很多學(xué)藝不精的程序員很喜歡用它管理數(shù)據(jù)庫(kù)，大大咧咧的把它放在了根目錄，再配以祖?zhèn)鞯娜趺艽a。被拖庫(kù)只是時(shí)間和運(yùn)氣問(wèn)題。這些流量有來(lái)自香港，福建，也有北京。

是不是所有掃描都是那么簡(jiǎn)單粗暴呢，并沒(méi)有，我們注意了這位師傅的掃描記錄：

風(fēng)格一改其他師傅簡(jiǎn)單粗暴的風(fēng)格，懷著好奇心我們搜尋了一下這些請(qǐng)求背后的故事。

第一個(gè)payload針對(duì)的是織夢(mèng)cms（Dedecms）的任意文件上傳漏洞，這已經(jīng)是一個(gè)老漏洞了，黑客可以利用這個(gè)漏洞上傳webshell木馬什么的，最終控制服務(wù)器。

第三個(gè)payload（xycms）針對(duì)的是xycms咨詢公司建站系統(tǒng)的漏洞（都不能叫漏洞了），直接把數(shù)據(jù)庫(kù)放在了web目錄下，真正實(shí)現(xiàn)一鍵拖庫(kù)。

（廠商忽略此漏洞可真是太蠢了）

下一個(gè)漏洞又是織夢(mèng)cms的，就是那個(gè)download.php和ad_js的。這是一個(gè)2013年的高危漏洞，因?yàn)樽兞课幢徽_初始化， 黑客可以通過(guò)一套花里胡哨的操作執(zhí)行sql注入，并且還能通過(guò)一個(gè)程序把數(shù)據(jù)庫(kù)中的內(nèi)容寫入文件，最終通過(guò)一套連環(huán)操作在服務(wù)器中留下后門。

下一個(gè)是個(gè)新漏洞，這個(gè)高危漏洞今天7月才被爆出，可以遠(yuǎn)程執(zhí)行代碼，來(lái)自Modx Revolution

漏洞全來(lái)自php？并沒(méi)有，我們注意到這樣一條記錄：

此攻擊針對(duì)的是巨硬家IIS 6.0的一個(gè)安全漏洞，這是一個(gè)利用緩存區(qū)溢出的高危漏洞，可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

還有一些利用Weblogic的新洞(CVE-2018-3252)，Apache Struts2的漏洞（CVE-2017-5638）的payload我在這里就不再列舉了。當(dāng)然當(dāng)然，最有意思的還屬最后一個(gè)payload：

這個(gè)payload罕見(jiàn)的附上了用戶名，我們?cè)诰W(wǎng)上搜索和這個(gè)payload相關(guān)信息的時(shí)候發(fā)現(xiàn)，這并不是一個(gè)針對(duì)服務(wù)器的攻擊payload，而是針對(duì)一些物聯(lián)網(wǎng)設(shè)備，比如說(shuō)……攝像頭。

hi3510是海思公司推出的一款視頻壓縮芯片，主要用于攝像頭，我們找到了一份IP Camera CGI的應(yīng)用指南，找到了相對(duì)應(yīng)的命令用法：

但是我們并沒(méi)有在網(wǎng)上搜索到相關(guān)的漏洞，但是發(fā)現(xiàn)很多網(wǎng)站的日志中都存在這條記錄

所以這極有可能是一個(gè)還沒(méi)有公開的，物聯(lián)網(wǎng)中攝像頭中存在的漏洞。所以，有師傅日了攝像頭當(dāng)肉雞看起來(lái)并不是傳言。

然而，上面分析的這些，也只是黑客黑產(chǎn)冰山上的小冰渣。現(xiàn)實(shí)比這要嚴(yán)重的多，也許黑客在黑市中販賣著你的隱私，你的服務(wù)器，而你卻渾然不知。

是用django好？

PHP！

1、php是世界最好的語(yǔ)言！

2、中小型網(wǎng)站用PHP最適合不過(guò)了！

3、綜合成本來(lái)說(shuō)，PHP是最低的。

4、PHP已經(jīng)有20多年歷史了，足夠完善。

5、做網(wǎng)站方面的生態(tài)，PHP比Python和go都完善得多，PHP各種composer庫(kù)也很多。

6、PHP程序員也比go和Python程序員多！未來(lái)網(wǎng)站維護(hù)更方便。

6、Python更適合做數(shù)據(jù)分析，爬蟲，人工智能方面。

7、go語(yǔ)言更適合用來(lái)處理日志、數(shù)據(jù)打包、虛擬機(jī)處理、文件系統(tǒng)，分布式系統(tǒng)、數(shù)據(jù)庫(kù)代理器、中間件等，例如docker。

8、PHP的性能也越來(lái)越強(qiáng)。PHP8新增了JIT引擎，速度提升數(shù)倍！

9、PHP并不只能開發(fā)web網(wǎng)站。可以安裝swoole擴(kuò)展。

Swoole 可以編寫高性能高并發(fā)的 TCP、UDP、Unix Socket、HTTP、 WebSocket 等服務(wù)！