[其它] webshell不可以跨站但可以讀寫文件,求助！

zhangds147

下載 (52.27 KB)

2013-9-13 18:37

webshell不可以跨站但可以讀寫文件,求助！我在一個網(wǎng)站根目錄（子目錄也測試了）上傳一個后門，然后web進入，發(fā)現(xiàn)可以上傳文件和修改刪除文件

文件目錄權(quán)限是755，求怎么防止后門修改文件？

以前用kolxo的時候就不會這樣。

acmkis

如果你用的是apache的話，添加網(wǎng)站的時候勾上“限制目錄”即可
用ngnix的話，可以參考這里：http://www.lpboke.com/nginxphp%E9%98%B2%E8%B7%A8%E7%AB%99%E8%B7%A8%E7%9B%AE%E5%BD%95%E7%9A%84%E5%AE%89%E5%85%A8%E8%AE%BE%E7%BD%AE%E5%A4%9A%E7%A7%8D%E6%96%B9%E5%BC%8F%EF%BC%8C%E9%80%82%E5%90%88php5-3%E4%BB%A5%E4%B8%8A.html

飄云

學習了。不錯啊。

zhangds147

我已經(jīng)說可以限制目錄 不可以限制讀寫。 你回答的是個P我知道建站時候 勾選那個。

itxx

回復 4# zhangds147

由于php的部分函數(shù)具有操作系統(tǒng)的權(quán)限，建議禁止這些危險函數(shù)，例如：system函數(shù)可以獲取比較高的權(quán)限。你提到的問題我們會進一步測試。

zhangds147

如果別人知道webshell的路徑，打開后給你上傳一個phpmyadmin，再找出你的數(shù)據(jù)庫密碼和用戶名登陸后就可以刪除你VPS上所有的數(shù)據(jù)庫。雖然他夸不了站，打包不了你的程序， 但是可以刪除你所有的數(shù)據(jù)庫

我昨天又安裝了kloxo,kloxo可以封鎖所有讀寫上傳功能，但是禁止不了跨站。就安全來講，封鎖讀寫上傳肯定比跨站重要，就是黑客可以跨站，可以看到你網(wǎng)站的數(shù)據(jù)庫用戶密碼。 但是他任何破壞都做不了。

zhangds147

剛才我測試了。黑客用webshell上傳phpmyadmin，再利用你的數(shù)據(jù)庫配置文件得到你的用戶名和密碼，登錄后只能看到該網(wǎng)站目錄下的 數(shù)據(jù)庫， 數(shù)據(jù)庫也不可以跨站。只能在這一個目錄下?lián)v亂。

zhangds147

求解決禁止上傳。。。

itxx

回復 8# zhangds147


   測試中，請稍后。。。

admin

回復 6# zhangds147

數(shù)據(jù)庫里的話,除了root用戶權(quán)限,否則,看不到其它用戶的數(shù)據(jù)庫的,也操作不了其它的數(shù)據(jù)庫