网站被挂马是站长们最为头疼的事情,小则影响网站的访问,大则造成经济损失,到底这些木马是怎么运行?又要如何有效的去预防呢?
网站目录权限设置1.目录权限设置说明
先将网站所在的目录设为只读。如:网站放在xinturoot目录下,将xinturoot设为只读;
再将以下目录设置为可读写权限,同时关闭执行权限
(1)数据目录:/Data
(2)上传目录:/Upload
(3)配置文件目录:/App/Conf
(4)电脑网站模板目录 /App/Tpl/Home、手机网站模板目录:/App/Tpl/Wap
不建议开启写入权限,如果需要在网站后台修改电脑站模板和手机站模板, 才临时开启./App/Tpl/Home目录 和./App/Tpl/Wap目录的可读写权限,修改完成以后,关闭写入权限。
关闭执行权限时,可以关闭整个系统的模板目录./App/Tpl/ 的执行权限
模板配置文件必须开启写入权限,否则无法使用友点CMS系统后台的[模板管理]->[模板配置]功能
电脑站模板配置文件:App/Tpl/Home/Default/config.xml
手机站模板配置文件:App/Tpl/Wap/Default/config.xml
如果开启了自动生成网站地图的功能,请将根目录下的三个地图文件设置为可读写权限
sitemap.xml
sitemap.txt
sitemap.html
安全设置原则:开启了写入权限,就必须同时关闭执行权限,就算被上传了木马,也无法运行,也是死木马
2.在虚拟主机中如何设置权限
如果你的网站放在虚拟主机上,你可以登陆虚拟主机管理后台,来设置您的网站的权限。下面我们以国内虚拟主机前三强西部数码主机为例,来说明如何设置权限:
(1)设置目录和文件的读写权限
先登陆虚拟主机管理后台,找到虚拟主机管理功能,如下图所示:
点击【文件管理】,进入文件管理界面,选中xinturoot目录前的复选框,然后点击工具条的“权限设置”按钮,在弹出来的页面中选择“只读”属性,最后点击“确定”按钮,即可将网站跟目录xinturoot设置为只读,如下图所示:
设置好网站跟目录为只读以后,然后再将:
目录1)数据目录/Data 2)上传目录 /Upload 3)配置文件目录 /App/Conf 设置为可读可写权限
网站地图文件1)sitemap.xml 2)sitemap.txt 3)sitemap.html
模板配置文件1)电脑站模板配置文件:App/Tpl/Home/Default/config.xml 2)手机站模板配置文件:App/Tpl/Wap/Default/config.xml 设置为可读可写权限,如下图所示
其它需要设置权限的目录和文件操作步骤同上,不在赘述。
(2)关闭目录的可执行权限
需要关闭可执行权限的目录有:
1)数据目录:/Data 2)上传目录:/Upload 3)配置文件目录:/App/Conf 4)模板目录:/App/Tpl/
设置原则:开启可读可写权限的目录,都应该关闭可执行权限
点击虚拟主机管理中的【目录保护】按钮,被保护的目录,就会关闭其执行权限,如下图所示:
不同的虚拟主机商,操作都会有所不同,详情请咨询您的主机商客服!如果你的虚拟主机不支持设置读写权限和关闭可执行权限,你可以考虑换主机商了,不建议使用低劣的虚拟主机
亿美互联虚拟主机取消执行权限的方法:
亿美互联虚拟主机取消脚本执行权限
3.在云服务器中如何设置权限
(1)设置目录和文件的读写权限
远程登陆到云服务,打开网站的目录,右键单机网站跟目录,选择【属性】,选择网站对应的访问账号,然后点击【编辑】按钮,根据需要来设置是否选择写入权限,如下图所示:
(2)关闭目录的可执行权限
a) iis6.0 取消执行权限
打开IIS中站点,在站点Upload目录点击右键,菜单中选择“属性”,在目录属性面板选择执行权限为“无”即可。如下图所示:
iis6.0取消目录执行权限
b) iis7.0/7.5 取消执行权限
第一步呢,我们在IIS的左侧选中该目录,切换到功能视图
第二步呢,打开“处理程序映射”功能
第三步呢,打开右侧的“编辑功能权限”,将“脚本”这一项取消掉即可
IIS7也类似于IIS6.0,选择站点对应的目录,Upload文件目录,双击功能试图面板中的“处理程序映射”,如下图所示
iis7.0/7.5 处理程序映射
在“编辑功能权限……”中,我们直接去除脚本的执行权限即可。如下图所示:
iis7.0/7.5 取消脚本执行权限
c) apache 取消执行权限
首先我们找到apache的配置文件httpd.conf,通常情况下,该配置文件在apache安装目录下的conf文件夹中
apache httpd.conf配置文件位置
打开httpd.conf文件,找到内容中如下图的位置:
编辑httpd.conf配置文件
将需要取消执行脚本文件的目录配置添加到下方,配置内容为:
Deny from all
配置内容中的DIR为需要取消执行脚本文件的目录,FilesMatch后的内容为需要限定的执行的脚本后缀名。例如:这里需要禁止测试站点uploads文件夹下的PHP,ASP,JSP脚本的运行,则进行如下图配置:
取消脚本执行
3.检查权限设置是否正确
登陆后台,点击左上角【主页】,在右边的页面中可以看到目录权限设置情况,如下图所示: