本帖最后由 myp4p 于 2011-2-16 22:54 编辑
近期有大量站长朋友跟我反馈说DiscuzX被黑,在检查之后发现所有的这些站长朋友全部使用的Windows2008+IIS7+fastcgi+PHP,IIS7目前存在一个URL解析漏洞,会导致其他诸如jpg等文件都被当成PHP执行,对DZ的影响大概可以想象一下是这样的:黑客在你的论坛上注册一个用户,并上传一个经过特殊处理的图片文件,然后通过http://www.aaa.com/data/attachme ... sgsdkldsj.jpg/1.php这样的访问形式执行附带了恶意代码的jpg文件,如果你的服务器安全设置不严格,很可能就造成严重的影响,严重的可以导致整个服务器被攻陷。
Nginx同样存在此问题!
IIS7.x+Fastcgi+PHP的用户存在此问题,针对这个问题,这里给大家提供两个解决办法。
1、增强IIS设置。在IIS里找到“处理程序映射”,然后对PHP这一项进行编辑,将映射调整为仅限文件,具体见下图
服务器安全设置不容忽视,请广大站长朋友一定要重视。如果你对服务器系统并不熟悉,这里我为大家提供几点小小的建议,配合之前我提供的一些安全设置方面的帖子(查看),相信会取得较好的效果。(以下所有全部基于Windows Server)
1、服务器上别装一些乱七八糟的东西,什么360安全卫士之类的,我经常在一些站长朋友的服务器上看到,建议大家一定要卸载,如果有360安全卫士,我一分钟可以攻破你服务器并提权,具体原因省略掉。服务器一向是功能越少越安全,用不到的东西请尽量卸载或删除,比如说DZ的目录下就不需要ASP脚本执行能力。
2、请一定在服务器上安装简单的防火墙软件,如果是windows2008或2008R2,建议直接使用系统防火墙,功能强大,性能优越。除了常见的80端口和MYSQL、Memcache、3389使用的端口外,如果无特殊需求,建议阻止其他一切端口的进出。
3、服务器上安装一款安全软件,推荐Mcafee8.8,通过Mcafee强力阻截危险的入侵。一般情况下我们很少3389登录服务器,这个时候,我们可以完全全局禁止生成常见后缀的文件,exe\bat\vbs\ini\txt\cmd\com\dll等等,这样黑客想在你服务器上写入危险文件就变得非常困难了;再比如说,锁定部分注册表项目防止被创建账户和提权。
安全请永远摆在第一位
|