安全设置(旧版)

# 挂马原因 在v2.2.2版本增加了后台上传模板及图片等功能造成上传漏洞;除版本漏洞很多用户后台密码是admin,黑客的扫码工具直接扫描到后台路径通过默认admin密码进入后台,在模板管理那边上传木马文件,再进一步提权拿到所有权限,所以后台默认密码是一定需要改的 # 第一步 清理后门 - 空间或服务器被挂马后,黑客会通过工具在各个文件夹通过复制或创建的形式预留后门,如果没有全部清除干净,会导致后续黑客继续挂马。所以一定要清除干净。如果不懂怎么清除可以打包程序文件下载到本地用WebShellKill_V1.4.1工具进行查杀(查杀前请先自行备份),查杀后将病毒文件删除 WebShellKill_V1.4.1工具下载链接: https://pan.baidu.com/s/1BmUb_AsW-wCy96r9aIW-YQ 提取码: jdv3 ## 常见木马判断标准 - 扫描出的文件有系统加密文件和木马文件,如下图所示,红色为木马文件,黄色框为系统加密文件(杀毒工具会误报不用管) ![image.png](https://cos.easydoc.net/55430207/files/kx9yfqki.png) - 扫描出的文件有`password`和`你的英雄`,这种直接删除 ![image.png](https://cos.easydoc.net/55430207/files/kx9ojegg.png) - 部分文件无法被扫描出,如果清理完还存在跳转,则需查看`template>default>index>js`目录,查看文件最新修改时间,再如下图所示删除跳转代码 ![image.png](https://cos.easydoc.net/55430207/files/kx9pnxlu.png) - 如果还存在跳转在需依次检查入口文件 根目录`index.php`,`system>base.php`,`system>start.php`,`config>config.php`,`config>database.php`,`config>extra>sys.php`,`system>library>think>Loader.php`等 检查文件过程中如发现以下异常代码需额外注意:`file_get_contents`,`pass`,`eval`,`error_reporting`,`defined` # 第二步 升级系统 - 如果后台密码是admin,尽快修改为复杂密码 - 如果没有升级到最新版的,请尽快升级到最新版本 # 西数安全设置 ![image.png](https://cos.easydoc.net/55430207/files/kx9qa1nr.png) # 宝塔安全设置 ## 安全说明 建议用户安装宝塔面板nginx环境,并在宝塔面板-软件商店 安装nginx免费防火墙,免费防火墙已经可以抵挡大部分攻击,然后安装防篡改插件(是需要收费的)有条件的用户建议安装。 ![image.png](https://cos.easydoc.net/55430207/files/kwhsi978.png) ## 防篡改设置 安装后注意排除文件或目录有个默认名称config,是需要删除的,因为黑客是有可能通过修改config目录下的配置文件让网站进行跳转的 ![image.png](https://cos.easydoc.net/55430207/files/kwhsjpfv.png) ## 日常维护 安装防火墙后定期检查屏蔽些恶意访问的IP ![image.png](https://cos.easydoc.net/55430207/files/kwhsmhv5.png) # 协助检查 碰到问题多次无法处理的可以提供面板相关权限由我司技术进一步查看