《aspcms最新网站权限设置.docx》由会员分享,可在线阅读,更多相关《aspcms最新网站权限设置.docx(5页珍藏版)》请在第一文库网上搜索。
1、Aspcms网站权限安全设置使用aspcms建站是100%有漏洞,不做安全设置和权限设置是100%会被挂马或被修改站内容挂黑链或成瞧到违法网站,因为aspcms从2015年就停止更新和开发了(1)用aspcms建的网站被挂马一般都是如下四个目录没有禁止执行权限导致的/data/、/temp1ates/、/up1oad/、config相关目录的作用详细介绍:/data/(数据库目录不需要执行权限,如果你修改过自己的数据库文件夹名称,这里修改成你修改后的数据库文件夹名称即可)/temp1ates/(模板文件夹,都是静态文件,禁止执行权限)/up1oad/(附件目录,必须禁止执行权限,因为后台漏洞很
2、多都是直接向这个文件夹上传可执行文件来实现挂马)config(有的站长担心禁止了这个目录以后网站程序无法运行,其实不需要担心的,因为config这个目录不需要执行权限,只要有读取的权限aspcms就能正常运行)只要禁止了这4个文件夹的执行权限以后,你的程序基本上就不会再被挂马了,起码目前网络上流行的aspcms漏洞还没有超过这4个文件夹的。前三个文件夹相信站长们都在知道原因的,但是最后一个config文件夹估计很多一部分站长都不知道问什么要禁止的,因为在aspcms程序后台修改幻灯片的时候,其实是会在config文件夹写入代码的,如果这时候黑客们通过在幻灯片提交页面做简单的代码修改就可以把一句
3、话木马注入到config/AspCms_Config.asp这文件中,所以我们还是要禁止这个文件夹的执行权限比较安全。(2)ASPCMS网站安全设置详细方法如下:下面的任何权限的设置,设置后一般要等3分钟后,才可以进行下一步的权限设置,因为设置一个权限后要有3分多钟的执行时间。如果前面的设置没执行你又设置下一个,就会出现问题切记!1、关闭全站的写入权限(设置后会使得网站,无法更新内容,不要急请继续往后看)先登陆会员中心(可能界面不同):用户中心0会员登录-注册用户女网菜单帕在线提问或留言用户名:登陆用户中胆宓码如果没“册用户而45就先注册后有陆曾产品管理中心空间管理主赚理 ICn备案儆#?八以
4、b!1U化十机管1甲中 公女备辿K自己的产品信Ja 域名管并管pp”H而的产品用户中心-注册用户c左第菜单栏在线提问或留言产品管理中心 空间管理主%等理 ICP备军曲丹?八一会b以任十机铃用中J女备询f泊己的产品信息 域名曾计较pt1”H通的严楠选择你需要管理的主机进行“管理-HJ品类型域名FTP名密码IP地址开通倒期:操作蒙态作作2011年5月I免备案空,.meiguok208.109.88.112(FTP端30日试延期升管S1型me9uokv1P21scPcom50D9AF7E7296cf21)2011年5月用续费级1点击已开通产辅力储操作下的管理就必以对产辅进行洋撇管HPIM)操作H找到
5、“设置写入权限”点击进入:设置执行权限设置写入权限清空目录返回用户区点击“关闭此网站的写入权限”:写人权限设置:本系统支持全国首创的设置,允许关闭写入权限,锁定虚拟主机。对安全有重要意义,例如可以将ACCESS放在db目录,而将Web目录的写入关闭,令到ASP木马根本无法上传,这样比关闭FSO更安请注意,关闭写入权限的同时会令到FTP的上传功能同时关闭.子目录绑定了域名的网站同时会被锁定I关闭此网站的写入权限I保有子目录都权限都会被重置)丁I打开此网站的写入权限I厮有子目录都权限都会被重置)说明:这样网站就不可以写入修改删除任何的文件了,包括写入修改删除AeC数据库(也就是说不能更新网站内容,
6、如果是SQ1数据库就不影响更新),同时FTP也不能上传修改删除网站里的任何文件,FTP只能下载。如果是使用MSSQ1数据库的网站和MYSQ1数据库的网站非常有用,因为数据库不在空间里,不影响数据的更新,但是不能上传附件(图片等)等等。没有写入和修改的权限就谈不上挂马了!但是这样有个问题就是使用ACC数据库的网站数据库也不能更新(因为数据库就放空间里),有的网站在读取网站文章时有的是将文章读取次数动态更新到数据库,那么我们就单独设置数据库所在的目录为可写入权限,同时也需要设置上传网站附件和图片所在的目录为可写权限,生成静态页面的网站将生成页面所在的目录设置可写权限(这个可以临时开启,需要生成时就
7、开启可写权限不需要生成时就关闭可写权限)。这样设置后就全站只有数据库目录和附件目录有可写权限,生成静态页面的目录可临时开启,网站可以正常运行又安全。设置单个文件夹的写入权限方法见下面!2、返PI设置写入权限的页面,点击下面“打开此目录的写入权限,单独打开数据库目录、附件目录、缓存目录等需要随时写入数据的目录的写入权限让网站能正常运行。说明:设置一个目录后一般要等3分钟才可以设置下一个目录的写入权限,服务器执行命令是需要时间。这里只能设置网站根目录下的子目录(一级目录)的写入权限(不能设置二级和三级目录),如FTP链接后看到的在web目录下的up1oad目录(网站根目录就是FTP里的Web目录)
8、。设置该目录的写入权限后会同时开启其目录下所有子目录的写入权限。按照上面的方法我们打开data、up1oad四个目录的写入权限,按需要打开configtemp1ates的写入权限。如果网站长期不更新和修改就不用打开以上目录的写入权限;其中temp1ates是网站模板文件夹,如果不对网站模板风格样式进行修改,建议关闭写入权限(不要开启写入权限,需要修改网站模板样式的时候单独打开即可),有部分人对网站的JS迸行修改使得网站调转到违法网站;在后台设置网站参数和幻灯片广告图需要config下的AspCms_Config.asp的文件有写入权限,设置好后请关闭Config目录的写入权限,需要设置时再临时
9、打开写入权限,因为aspcms网站config下AspCms_Config.asp文件被不少人在Consts1idesty1e*=O幻灯片样式加入“一句话”代码(好像有三处,请仔细比对代码)。3、设置网站部分目录的执行权限(取消个别目录的执行权限)执行权限是什么意思呢?就是运行ASP、PHP、net代码的权限,但不影响htm和htm1静态页面和ACCeSS数据库、图片、附件的读取。通过前面的设置后我们已经打造了一个比较安全的网站,但是还不是最安全。因为有的人就是利用网站的上传附件的功能将可疑文件传到你的附件目录进行破环,因为我们的附件目录是可写的,也就是说还是可以利用网站漏洞传文件到附件目录,
10、他可以运行上传到这个附件目录里的木马文件将数据库文件和附件目录里的文件进行破坏,如果删除你辛辛苦苦更新的数据库那也不好。那么我们就要进一步的设置网站安全(取消个别目录的执行权限),请看下面:设置拒绝工P设置执行?5设置写入权限清空目录返回用户区就算黑客上传了网页木马到你可写入权限的目录,网马是asp、net、PhP类的执行文件,关闭执行权限后,网马就运行不了,也就对你的站不能进行破坏我们需要对data、temp1ates、up1oad关闭执行权限(如果平台提示不能设置,请联服务器人工处理)虑拟主机自助膏理_至统支持设置指走的目录取消ASP/PHP/CGI/ASP.Net权限因安全室重要意义,例如防止黑客上传ASP木马到图片或关像目录去运行)请城入目录名称:JPIoad前!后不需要加和/I取消此目录执行AS瞪权限修复比弓录的执行权限I另外提醒后台密码不要过于简单,默认管理员用户建议修改掉或删除掉(先增加一个管理员,然后用新的管理员登录删除默认的admin)折以请修改你的后台路径(将admin文件夹改名为只有你知道的名称)