Board logo

标题: 有关视频发布区的一点建议~~~~ [打印本页]

作者: sd4633582    时间: 2007-9-29 13:30     标题: 有关视频发布区的一点建议~~~~

我们视频发布的审核规则,我能谅解,但是发觉,这两天的审核时间有点慢拉哦~~~~好象每天都审核两次??(也可能我说的少拉)咱们能提高一下审核的频率吗??比如两个小时一次~~~~如果现在审核的人忙,可以找个在线时间长的,代替审核拉~~~绝对可以理解因为生活工作忙而导致的审核慢~~~~我就是对审核的速度感觉有点慢~~~而且审核制度级大的限制拉大家发贴的热情~~~直接导致大家不能一起讨论,一起分析~~~你想想,本来看拉视频很想说点什么,想和大家一起讨论起来~~~热闹闹热~~~~~可是类???激动的把观点一发出去~~~看到的是还要审核,而且要等很长时间~~~仿佛泼拉一盆冷水一般~~~这样好吗??所以我想~~~要不就加快审核频率~~~这是较好的方法,更为好的方法,我觉得是取消审核制度~~~但是取消审核制度,论坛挂病毒,木马的可能性就会大大增加(咱们不就是因为这个才审核的吗?),论坛安全性不高,那么什么办法呢??我们可以设置发贴权限啊 ~~~~~可能造成挂木马病毒的代码我们可以禁止使用嘛~~~~这样不就可以很好的防止拉吗??要不就在服务器上安装杀毒~~~~一般木马是没问题的~~~~还有很多方法~~~但最终我的意见就是想让视频发布区大家的帖子发布的更方便~~~更快捷拉~~~这些都是我个人的一些意见~~~~希望能吸取一些意见~~~愿论坛越办越好~~~~~~~~!!!!!!
作者: sd4633582    时间: 2007-9-29 13:31

防止论坛挂木马的一点方法:
1.服务器上安装江民或比江民更好的杀毒软件,经测试,江民可以杀掉绝大多数FSO类的ASP木马和EXE木马。
2.修改二个组件名称(进入注册表,查找)

1)Scripting.FileSystemObject 这个是FSO的组件,也可以卸载,但很多人在生HTML时通常要用到

改成一个你自定的名称,例如 Scripting.FileSystemObject_AAA

记住改过之后,如果你的网站里有相关的文件用到这个组件,你需要在这些文件里也改组件名称。


2)ADODB.Stream 这个东东采集时一般都要用到,同时也能被制作为文件管理器,如果这个文件管理器被传到你的网站,那当然就成了木马啦,这个江民是不杀的,所以用这个制作的文件管理器常常被称为“免杀ASP木马”

把它改成一个你自定的名称,例如 ADODB.Stream_AAA
记住改过之后,如果你的网站里有相关的文件用到这个组件,你需要在这些文件里也改组件名称。

好了,改完之后,现在一般的ASP木马在你服务器上是运行不了了。

对于上传JPG木马的方法

最好禁止上传,然后图片设一个专门的文件夹,那个目录只允许读取,不允许脚本和程序。   
  程序里要在上传后fso打开图片文件,检查是否含有<%   %>及iframe之类危险代码。   
  限制文件扩展名,不管是客户端还是服务器端上没用的,jpg木马本来就是一个图片文件。
作者: sd4633582    时间: 2007-9-29 13:34

  针对Discuz。首发Discuz.net,转到落伍骗分。如果转载请注明出处
看到近来有不少朋友的论坛被上传木马,这里我提供一些我自己的心得。
本文的环境为FreeBSD 4.11,MySQL 4.0.23a,PHP 4.3.11+Zend,Apache 2.0.52
PHP的配置文件:/usr/local/Zend/etc/php.ini
MySQL的配置文件:/etc/my.cnf
Apache的配置文件:/usr/local/etc/apache2/httpd.conf
所有网站都放在/www
Discuz!放在/www/discuz
1)首先来配置php.ini
CODE:
[Copy to clipboard]
# ee /usr/local/Zend/etc/php.inictrl+y查找:disable_functions
找到后在=后面添加
CODE:
[Copy to clipboard]
exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,
proc_open,popepassthru,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,popen上面内容请放到一行。因为保持帖子的整体效果作了换行
这里都是禁止在php里面执行的函数
查找:display_errors
如果是On的话改成Off
查找:magic_quotes_gpc
如果是Off的话改成On
查找:register_globals
如果是On的话改成Off
查找:open_basedir
后面增加
/www/:/tmp/
这里是限制php可以访问的目录,后面一定要加上/,否则如果有/wwwabcd这个目录也会被访问得到
多个目录用英文:分隔。如果不添加/tmp/的话Discuz!的上传功能就无法使用
注意:以上内容在php.ini的开头会有相关设置的提示,请按ctrl+x查找下一个,不要直接在上面修改
OK,保存退出
(ee的搜索是向后,如果发现某个词语搜索不到可以使用快捷键ctrl+t回到文档起始)
2)MySQL的安全设置
打开/etc/my.cnf。如果没有的话可以到/usr/local/share/mysql下面cp一个
CODE:
[Copy to clipboard]
#cp /usr/local/share/mysql/my-medium.cnf /etc/my.cnf编辑my.cnf
CODE:
[Copy to clipboard]
#ee /etc/my.cnf找到
[mysqld]

myisam_sort_buffer_size = 8M
后面添加
CODE:
[Copy to clipboard]
set-variable=local-infile=0
set-variable=max_connections=9000        #这个功能是设置最大的同时连接数,与安全无关,优化而已//// 可选设置
把mysql的root改名
CODE:
[Copy to clipboard]
# mysql -uroot -p按提示输入密码
CODE:
[Copy to clipboard]
mysql>use mysql;
mysql>update user set user="newroot" where user="root";
mysql>flush privileges;
mysql>exit这样就把mysql的root改成newroot了
3)改一下httpd.conf
CODE:
[Copy to clipboard]
#ee /usr/local/etc/apache2/httpd.conf去掉不需要的mod。其他的不说了,关键几个如下:
QUOTE:
#LoadModule cgi_module libexec/apache2/mod_cgi.so
#LoadModule userdir_module libexec/apache2/mod_userdir.so在前面添加#禁止加载
把从
ScriptAlias /cgi-bin/ "/usr/local/www/cgi-bin/"

    AllowOverride None
    Options None
    Order allow,deny
    Allow from all
全部在前面加上#注释掉
在文件的最后对应的VirtualHost中增加
CODE:
[Copy to clipboard]
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
php_admin_value open_basedir "/www/discuz/:/var/tmp/"前面三行是对Trace和Track请求的处理,最后一句是对php打开的目录作限制
4)Discuz!目录安全设置
首先建立一个密码文件
CODE:
[Copy to clipboard]
# touch /www/.discuzpass建立用户dzadmin
CODE:
[Copy to clipboard]
# htpasswd /www/.discuzpass dzadmin按照提示输入两遍密码
完成用户创建后,在discuz!的目录里面建立一个.htaccess文件,里面的内容如下:
CODE:
[Copy to clipboard]
AuthUserFile /www/.discuzpass        #密码文件存放位置
AuthName "Login pls"
AuthType Basic
require user dzadmin        #需要验证用户为dzadmin
AuthUserFile /www/.discuzpass
AuthName "Login pls"
AuthType Basic
require user dzadmin
设置后从Web访问admincp.php和config.php必须要输入正确的账号和密码
进入attachments、customavatars目录,建立.htaccess,里面的内容为:
CODE:
[Copy to clipboard]
php_flag engine off设置后在附件和用户自定义头像目录就无法执行php文件了。就算discuz!有上传文件的漏洞,被传了webshell,在打开的时候也只是提示下载文件,而不是直接运行。
在其他的敏感目录,比如admin、forumdata、templates等目录,我们可以完全禁止用户的访问。同理,建立一个.htaccess,内容如下:
CODE:
[Copy to clipboard]
Options -Indexes
Options +FollowSymLinks
Options -ExecCGI
order deny,allow
deny from all最后,对templates目录里面的模板全部chmod 644,只有所有者能写,其他用户为只读
通过以上的设置,你的Discuz!已经相对安全了,偷笑一下吧。
经过我的测试,基本市面上的webshell都无效,包括最新的phpspy 2006,也只能在授权目录下面访问。
以上设置针对FreeBSD环境、Apache服务器。其他*nix和Win环境可以参考修改。




欢迎光临 浆糊论坛-RO小站 (http://bbs.rohome.cn/) Powered by Discuz! 7.2