首页帮助中心建站知识

aspcms最新漏洞安全防范,aspcms网站权限设置,aspcms安全设置

迅恒数据中心

使用aspcms建站是100%有漏洞,不做安全设置和权限设置是100%会被入侵或被修改网站内容挂黑链或跳转到违法网站,因为aspcms从2015年就停止更新和开发了

用aspcms建的网站被黑一般都是如下四个目录没有禁止执行权限导致的/data/ 、/templates/ 、/upload/ 、/config/

相关目录的作用详细介绍:
/data/ (数据库目录不需要执行权限,如果你修改过自己的数据库文件夹名称,这里修改成你修改后的数据库文件夹名称即可)
/templates/(模板文件夹,都是静态文件,禁止执行权限)
/upload/ (附件目录, 必须禁止执行权限,因为后台漏洞很多都是直接向这个文件夹上传可执行文件来实现挂马)
/config/ (有的站长担心禁止了这个目录以后网站程序无法运行,其实不需要担心的,因为config这个目录不需要执行权限,只要有读取的权限aspcms就能正常运行)
只要禁止了这4个文件夹的执行权限以后,你的程序基本上就不会再被挂马了,起码目前网络上流行的aspcms漏洞还没有超过这4个文件夹的。前三个文件夹相信站长们都在知道原因的,但是最后一个config文件夹估计很多一部分站长都不知道问什么要禁止的,因为在aspcms程序后台修改幻灯片的时候,其实是会在config文件夹写入代码的,如果这时候黑客们通过在幻灯片提交页面做简单的代码修改就可以把一句话木马注入到config/AspCms_Config.asp这文件中,所以我们还是要禁止这个文件夹的执行权限比较安全。

ASPCMS网站安全设置详细方法如下:
下面的任何权限的设置,设置后一般要等3分钟后,才可以进行下一步的权限设置,因为设置一个权限后要有3分多钟的执行时间。如果前面的设置没执行你又设置下一个,就会出现问题……切记!
1、关闭全站的写入权限(设置后会使得网站,无法更新内容,不要急请继续往后看)
先登陆会员中心(可能界面不同):


点“击主机管理或空间管理”之类的菜单

选择你需要管理的主机进行“管理“:

找到“设置写入权限”点击进入:
设置写入权限
点击“关闭此网站的写入权限”:
关闭写入权限
说明:这样网站就不可以写入修改删除任何的文件了,包括写入修改删除ACC数据库(也就是说不能更新网站内容,如果是sql数据库就不影响更新),同时FTP也不能上传修改删除网站里的任何文件,FTP只能下载。如果是使用MSSQL数据库的网站和MYSQL数据库的网站非常有用,因为数据库不在空间里,不影响数据的更新,但是不能上传附件(图片等)等等。没有写入和修改的权限就谈不上挂马了!
    但是这样有个问题就是使用ACC数据库的网站数据库也不能更新(因为数据库就放空间里),有的网站在读取网站文章时有的是将文章读取次数动态更新到数据库,那么我们就单独设置数据库所在的目录为可写入权限,同时也需要设置上传网站附件和图片所在的目录为可写权限,生成静态页面的网站将生成页面所在的目录设置可写权限(这个可以临时开启,需要生成时就开启可写权限不需要生成时就关闭可写权限)。这样设置后就全站只有数据库目录和附件目录有可写权限,生成静态页面的目录可临时开启,网站可以正常运行又可谢绝黑客黑站。设置单个文件夹的写入权限方法见下面!

2、返回设置写入权限的页面,点击下面“打开此目录的写入权限”,单独打开数据库目录、附件目录、缓存目录等需要随时写入数据的目录的写入权限让网站能正常运行。
说明:设置一个目录后一般要等3分钟才可以设置下一个目录的写入权限,服务器执行命令是需要时间。这里只能设置网站根目录下的子目录(一级目录)的写入权限(不能设置二级和三级目录),如FTP链接后看到的在web目录下的upload目录(网站根目录就是FTP里的web目录)。设置该目录的写入权限后会同时开启其目录下所有子目录的写入权限。
开启单个目录的写入权限.png

按照上面的方法我们打开data  、upload 四个目录的写入权限,按需要打开config、templates的写入权限。
如果网站长期不更新和修改就不用打开以上目录的写入权限;
其中templates是网站模板文件夹,如果不对网站模板风格样式进行修改,建议关闭写入权限(不要开启写入权限,需要修改网站模板样式的时候单独打开即可),有部分黑客对网站的JS进行修改使得网站调转到违法赌博网站
在后台设置网站参数和幻灯片广告图需要config下的AspCms_Config.asp的文件有写入权限,设置好后请关闭config目录的写入权限,需要设置时再临时打开写入权限,因为aspcms网站config下AspCms_Config.asp文件被不少黑客Const slidestyle*=0 '幻灯片样式加入一句话木马(好像有三处,请仔细比对代码)。

3、设置网站部分目录的执行权限(取消个别目录的执行权限)
执行权限是什么意思呢?就是运行ASP、PHP、net代码的权限,但不影响htm和html静态页面和Access数据库、图片、附件的读取。

通过前面的设置后我们已经打造了一个比较安全的网站,但是还不是最安全。因为有的黑客就是利用网站的上传附件的功能将木马文件传到你的附件目录进行破环,因为我们的附件目录是可写的,也就是说黑客还是可以利用网站漏洞传木马文件到附件目录,他可以运行上传到这个附件目录里的木马文件将数据库文件和附件目录里的文件进行破坏,如果删除你辛辛苦苦更新的数据库那也不好。那么我们就要进一步的设置网站安全(取消个别目录的执行权限),请看下面:

设置执行权限
就算黑客上传了网页木马到你可写入权限的目录,网马是asp、net、php类的执行文件,关闭执行权限后,网马就运行不了,也就对你的站不能进行破坏
我们需要对data 、templates 、upload关闭执行权限(如果平台提示不能设置,请联系QQ16764407帮你上服务器人工处理)
关闭执行权限.png

另外提醒后台密码不要过于简单,默认管理员用户建议修改掉或删除掉(先增加一个管理员,然后用新的管理员登录删除默认的admin)

还有就是aspcms存在绕过权限免密码登录后台的漏洞,

所以请修改你的后台路径(将admin文件夹改名为只有你知道的名称)

分类:建站知识 百度收录 必应收录

文章来源: 网络小编D
版权声明: 本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请联系本站立刻删除。

上一篇将WinServers2019打造成家用系统,将Win2019打造成个人办公系统,WIN10,WIN2019优化设置

下一篇Centos7.6关闭默认防火墙firewalld开启iptables详细教程Centos7.8防火墙设置

最新图文