dedecms上传空间,你会担心云服务器安全吗日志文件的大小足足有16M大,也许几张高清大图的大小远超16M,但是这可是纯文本文件啊。为了分析方便偶使用脚本将日志文件分字段拆分插入了mariadb数据库,方便以后分析查询。
由于使用了nginx-proxy容器作为反向代理,只有以正确的域名访问偶的服务器才会得到正确的响应,通过ip访问或者通过错误的域名访问统统503。没想到这个不太刻意的设置居然成了偶的服务器的第一道防火墙。
把服务器日志导入数据库,大概滤掉正常的请求,首先看到的是师傅们扫目录的记录。
这些请求全部来自一个香港的IP(大概是个vps),这些大概是扫描服务器中的webshell(webshell是可以通过web直接操作服务器的后门,可以说是一种木马),也有的是扫描wp-config.php这样的WordPress配置文件,一般没有什么危害,只是作为信息收集。
继续往下看大家发现了更有趣的东西:有4834条记录与phpmyadmin的扫描有关。大家知道phpmyadmin是一个很好用的类MySQL数据库的管理前端,很多学艺不精的程序员很喜欢用它管理数据库,大大咧咧的把它放在了根目录,再配以祖传的弱密码。被拖库只是时间和运气问题。这些流量有来自香港,福建,也有北京。
是不是所有扫描都是那么简单粗暴呢,并没有,大家注意了这位师傅的扫描记录:
风格一改其他师傅简单粗暴的风格,怀着好奇心大家搜寻了一下这些请求背后的故事。
第一个payload针对的是织梦cms(Dedecms)的任意文件上传漏洞,这已经是一个老漏洞了,黑客可以利用这个漏洞上传webshell木马什么的,最终控制服务器。
第三个payload(xycms)针对的是xycms咨询公司建站系统的漏洞(都不能叫漏洞了),直接把数据库放在了web目录下,真正实现一键拖库。
(厂商忽略此漏洞可真是太蠢了)
下一个漏洞又是织梦cms的,就是那个download.php和ad_js的。这是一个2013年的高危漏洞,因为变量未被正确初始化, 黑客可以通过一套花里胡哨的操作执行sql注入,并且还能通过一个程序把数据库中的内容写入文件,最终通过一套连环操作在服务器中留下后门。
下一个是个新漏洞,这个高危漏洞今天7月才被爆出,可以远程执行代码,来自Modx Revolution
漏洞全来自php?并没有,大家注意到这样一条记录:
此攻击针对的是巨硬家IIS 6.0的一个安全漏洞,这是一个利用缓存区溢出的高危漏洞,可以导致远程代码执行。
还有一些利用Weblogic的新洞(CVE-2018-3252),Apache Struts2的漏洞(CVE-2017-5638)的payload偶在这里就不再列举了。当然当然,最有意思的还属最后一个payload:
这个payload罕见的附上了用户名,大家在网上搜索和这个payload相关信息的时候发现,这并不是一个针对服务器的攻击payload,而是针对一些物联网设备,比如说……摄像头。
hi3510是海思公司推出的一款视频压缩芯片,主要用于摄像头,大家找到了一份IP Camera CGI的应用指南,找到了相对应的命令用法:
但是大家并没有在网上搜索到相关的漏洞,但是发现很多网站的日志中都存在这条记录
所以这极有可能是一个还没有公开的,物联网中摄像头中存在的漏洞。所以,有师傅日了摄像头当肉鸡看起来并不是传言。
然而,上面分析的这些,也只是黑客黑产冰山上的小冰渣。现实比这要严重的多,也许黑客在黑市中贩卖着你的隐私,你的服务器,而你却浑然不知。
dedecms网站已经做好?
下载织梦,解压,打开uploads文件夹,把里面的所有文件上传至服务器,如果有自己的模版,把模版上传至根目录下的templets文件夹中。
打开网站首页,安装织梦,进入后台,如果用的是默认模版,不需要另外设置;如果用的是自己的模版,打开系统设置,默认模版文件夹改成你模版的文件夹,再点击生成,生成首页,首页模版路径改成你模版所在的文件夹名,如果是默认的则不需要修改。
URL的静态化是什么意思?
网站的URL被分为动态和静态两种,因为程序语句不同,动态的URL也分为三种,第一种是ASP,第二种是PHP,第三种是JSP。静态的URL却只有一种,那就是.html。所以,大家经常通过网址来查看该网站是动态还是静态的。
虽然网站被分为动态和静态两种,但是针对SEO来说,搜索引擎会经常对网站进行爬行。如果访问动态网站就需要通过访问服务器上的数据库,然后进行数据库的转移才能展现。而静态页面却不需要通过这样繁琐的操作。对于SEO优化来说,静态网站的优化往往更加有利于优化。
1、为什么要静态化
由于在很长一段时间搜索引擎的技术有限,加上动态网站的负荷较大,所以从最开始的收录来说,搜索引擎都是针对静态网站而言的。这并不是说搜索引擎不会收录动态网站,只不过收录的动态网站因为点击之后访问速度以及其它原因,导致排名较静态网站而言更加靠后。有了这样的习惯后,越来越多SEO人员就记住了这样的规律。搜索引擎更加倾向于静态网站的URL收录。
之所以网站要使用静态化,主要体现在一下几个方面:更加方便搜索引擎的抓取。当用户访问网站的时候,因为是静态网站更方便用户记住,并且通过分享进行传播。静态网站因为只是一个单独的静态页面,并不需要通过访问服务器上的数据库进行转义,只有十几KB的大小,所以静态网站的打开速度往往更快。静态网站并没有漏洞存在,一般来说漏洞的存在都是因为代码不够严谨造成的,而静态网站多是以HTML的形式展现,所以并不会出现漏洞。
2、纯URL静态网站
正常来说是没有纯静态的网站。因为网站是需要维护管理和运营的,如果是纯静态网站,没有一个合适的管理后台,那么工作量是非常巨大的。当然任何事都没有绝对的,纯静态网站也是存在的。这种网站一般适用于接触前端人员,他们不懂程序和数据的衔接,更加不懂如何搭建合适的网站后台,只是通过前端代码DIV+CSS进行排版,之后上传到FTP上。
优点:网站页面简单,没有漏洞,只需要会前端代码就可以了。
缺点:管理困难,不利于优化,更加不利于后期的维护和更新。
3、开源自带伪静态URL网站
现在很多网站都是.html为后缀的网站,这种类型的网站通常会让用户错误认为是静态网站,其实这种网站被称为伪静态。因为凡是与程序相关的网站都是需要结合数据库的,而涉及数据库的网站就是动态网站。这是为了方便后期的网站优化,所以使用程序的办法进行了伪静态的操作。
优点:操作简单,学习一些DEDECMS教程就可以快速上手,直接伪静态利于优化。
缺点:需要有一定的前端代码基础和PHP基础,漏洞太多了,被攻击的可能性较大。
4、动态URL实现静态URL的方法
主流的开源系统除了DEDECMS在设计之初就实现了伪静态之外,其它常见的开源系统都属于动态网站。这种网站类型并不利于优化,所以,大家在做这种类型网站的时候,就需要通过一定技术来实现伪静态这种效果。
优点:模版风格清晰,管理方便,安全性高。
缺点:代码要求高,一般性修改比较困难。
适合做企业网站的有哪些免费的网站程序?
PHP CMS
思途CMS:适用于旅游行业的CMS系统,由四川思途智旅软件有限公司研发,基于LAMP架构,系统支持O2O模式、B2B模式、B2B2C模式、B2C模式等,其使用价值不限于这些模式在完善的系统基础上将系统的功能及可视化界面进行模块化,用户可根据自己的需求对系统进行模块化的安装使用,如:邮轮模块、供应商模块、分销模块等![2]都可进行无限的扩展,具有较强的灵活性,同时支持二次开发,系统无加密,可每周更新,同时也可自行按照官方提供的标准文档进行二次开发!系统嵌入了营销推广系统,营销推广系统包含了来源分析功能,网站地图自动生成,一键设置网页标题、关键词及描述,智能整站检测死链、关键词统计优化功能等。是已有旅游CMS系统的翘楚!同样也是业内 的标杆![3]
共4张
思途cms
五指CMS:基于php5 技术实现的一套高性能网站内容管理系统,默认支持pc网站和手机网站,能够自动识别用户客户端,给用户呈现不同的内容。模型功能首创共享模型/独立模型/相结合为不同的级别系统提供强有力的技术平台,数据库支持主从读写分离。
CmsTop:基于LAMP架构,融合文章/图集/视频/专题/页面/一键转载/编辑考核/活动报名/投票评选/全文搜索/个人专栏等功能,提供“PC网站+手机网站+手机客户端+平板客户端”多终端一体化媒体网站技术解决方案。
国微CMS:(原PHP168二代架构系统S系列)主打二代架构,主要在千万级数据负载、海量数据搜索方面具备核心优势,架构为核心+模块+插件方式,非常适合大型平台的使用。
织梦CMS是集实用、复杂、功能强大、安全、灵活、开源几大特点的开源内容管理系统,是国内开源CMS的领先品牌,系统并不简单。
e107:是一个内容管理系统采用PHP写成的,并使用流行的开源MySQL数据库系统的内容存储。 这是完全免费的,完全可定制的,并在不断发展,2007年最佳开源(PHP) cms软件之一!
MODx:MODx 是一个开源的 PHP 应用框架,可以帮助使用者控制自己的网上内容。它是开发人员和高级用户理想的控制系统,任何人都可以使用 MODx 发布、更新、维护动态网站,或html(标准通用标记语言下的一个应用) 静态页面的网站内容。 MODx 是一个完全开源免费的 php 内容管理系统(CMS),被评选为2007年度“最有前途的开源内容管理系统”(Most Promising Open Source CMS)。
MyfCMS MyfCMS-闵益飞内容管理系统是国内第一款基于Thinkphp框架开发的、完全开源免费的phpcms系统,任何个人或组织,不论赢利与否均可以免费使用。
帝国CMS:是一个经过完善设计的适用于Linux/windows/Unix等环境下高效的网站解决方案它的不同版本可以满足从小流量到大流量,从个人到企业各方面应用的要求。
fcontex:基于PHP和MySQL技术构建的CMS和博客系统,同时也支持SQLite数据库。这款系统有两个不错的亮点,一是采用了WebOS风格的后台管理界面可以并列打开多个窗口来操作而互不干扰,二是采用Ajax技术实现的交互方式带来了流畅的操作体验。
phpcms:采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。MVC框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的应用需求。
共2张
PHPCMS
08cms:定位于大型行门户系统网站开源系统,功能强大,扩展自由灵活,目前子系统有房产行门户系统、家装门户系统、汽车门户系统。
NET CMS
EoyooCMS 是一套基于B/S多层架构的.NET开发的一套网站的内容管理系统前拥有的成熟模型有:单页、文章、图册、产品、下载、视频、人才、留言。 并且每个模型都可以自定义扩展字段,由用户自定义属性字段,后台管理系统拥有一流的用户体验结合数字营销集成了对访客用户的行为进行分析,数据挖掘。
DeepSoonCMS是一款轻量级、开源免费的基于.NET和MySQL的内容管理系统,主要特色包括:给上传的图片添加自定义版权水印;多种URL方式的伪静态化;论坛式说说插件,让网站交互无极限;主题风格一键切换;瀑布流模板,图文混排;缩略图自动提取等。
ASP CMS
KingCMS:KingCMS是集简约的操作界面、灵活的页面设计、无限的扩展能力;集成完善的Vbscript开发类;完全模块化方式的框架式内容管理系统。
逐浪CMS是基于.net 开发的CMS,已经采用Zoomla!逐浪CMS的用户大多以高端电子商务应用为主,其中包括对接金蝶K3等应用,并融合三维全景、3D、智能组卷、教育行业、视频、微博等应用,系统集成站群、开放API、数据接口,同时不集成任何强制LOGO,定位是“面向开发者的CMS”,与动易CMS正好定位相反,初学者困难,但一旦上手即进入自偶境界。每年元旦逐浪CMS都会发布重要版本,是国内更新与研发投入最大的CMS系统之一。
JAVA CMS
1.ZCMS:是一套基于J2EE和插件技术的、面向高端用户的网站内容管理软件,集内容规划、内容创作、内容编辑、内容审核、基于模板的内容发布等功能于一身,并提供互动组件、可视化专题、内容采集、内容检索、访问统计等扩展功能。
如何建个人网站?
个人网站偶也搞了十几年了,对于如何建个人网站及获取域名这样的问题可以说驾轻就熟。
首先看一下流程:网站制作–网站发布–绑定域名。
网站制作你可以自己或找人帮你开发或二次开发网站代码。当然能问出这样问题的话应该是不会自己编程开发制作网站的了。
如果你不缺钱直接找专业的人或公司就会帮你一条龙搞定了。
如果你想自己亲手体验一下制作网站,可以学一下HTML5,CSS,PHP,JS等这些内容,前期学这些应该差不多了,其它的你在查找学习这些内容的时候应该或多或少可以接触到,如何发展到时你自己衡量决定。
不过现在已经不是开发单打独斗的年代了,有很多现成的框架或网站系统拿来二次开发或者直接使用,这样效率是你自己摸索开发的千百倍,而且毕竟这些框架系统都是别人整个团队大部队日夜不断根据日新月异的科技水平以及使用者需求改进完善美化而来,不管是你想到的或没有想到的安全性、功能、设计、智能化等都已经考虑到并已实现了。
就算你一定要是自己原创的网站,也需要拿别人的来借鉴学习,不然怎么能自创“武功”。
建议找一些时下流行的cms系统来摸索学习吧!推荐WordPress。
如果你想要现成的网站直接发布,你只需要进行发布内容的话还是建议使用WordPress,有着海量的主题(模板)供你选择,还有着同样多到数不清的功能插件供你增减时下流行的功能需求,最重要的是它开源免费。根据最新统计调查发布宣称全球网站有30%是采用的WordPress建立,是排名第二的Joomla的10倍。
当然偶自己现在的个人博客网站也是采用的WordPress建立。
网站发布网站制作或选定cms了以后,就可以进行发布了。发布网站需要服务器空间,理论上你可以用自己的电脑作为网站服务器发布到外网供人浏览访问,但在国内都是需要备案的,目前基本上是不太可能了。
所以你需要购买服务器主机(一般都含有数据库,MySQL或msSQL等,可选的),刚入门建议先弄个虚拟主机来玩玩先把,容易操作,价格也不贵,一般几十到几百左右/年就可以了。可以在阿里云、腾讯云或百度云购买,可以看看他们哪个搞活动便宜就买哪个,偶买的是阿里云的,早两年他们搞活动买的,一次买了三年。前段时间看到腾讯云搞活动也入手了一个打算用来搞小程序,不过到现在都还没空弄。
虚拟主机购买好以后就可以根据其提供的数据库信息配置网站的数据库连接。
接着再用ftp工具把你的网站上传到虚拟主机空间。
绑定域名绑定域名前必须先获取域名,如何获取?建议网站空间在哪个平台买的就在他们那里购买域名就行了,这样使用过程有什么问题也好让他们客服一并处理解决。偶网站域名当然也是阿里云买的了,价钱有十几到几千几万几百万……甚至更高的都有,如果域名不是很好的话一般几十一年也可以搞定了,甚至低至十几一年的也有。
买好域名就可以进行域名绑定了,就是登录域名管理添加解析,网站主机会有一个IP,你只需要把这个IP添加解析到你的这个域名即可大功告成!
不过如果你用的是国内的网站空间的话(国外是不需要这步的,但国内用户正常是无法访问国外网站的),你还需要进行网站域名备案,备案完成后才能成功的访问你的网站。
当然,现在大多数网站空间域名提供商的平台都是可以一条龙免费协助你备案的,根据他们平台发布的备案流程以及所需材料提交给他们就行了。
顺利的话一般20工作日内就可以完成备案了。