科汛CMS防止网站被挂马和arp欺骗等

bucuo123

科汛CMS防止网站被挂马和arp欺骗等
大家好！　
网站被挂马的路径有多种，如程序方面的漏洞引起，ＩＩＳ挂马，arp欺骗,sql数据库漏洞等!
１．程序方面：
首先就要保证程序已打上官方发布的所有最新补丁，及时升级到最新版本．如果之前已经中过马，单打上补丁还是不行，必须把这个放马的后门（木马文件）找出来，如利用http://down.chinaz.com/soft/19730.htm这个工具来查找．只有真正的把木马文件找出来并删除了，才算安全！(小提示：如果在你的网站上找不到木马文件，很有可能就是通过服务器漏洞来挂马)
接下来说说程序的安全设置(针对kesioncms系统)：
a、修改默认数据库名称
如果你的网站用的是acces数据库，一定要把默认的数据库名称改掉(科汛默认data/KesionCMS4.mdb)]改成asp]asa,config扩展名等，如kesion!@#!!.asa 以防止数据库被下载．
相应的要改下conn.asp里的数据库路径，程序才能运行
DBPath = "/KS_Data/KesionCMS4.mdb" '改成你修改后的数据库名称 如/ks_data/kesion!@#!!.asa
b、启用认证码，并修改默认的认证码为你自己设置
具体修改方法，请打开admin/chkcode.asp ,
Const EnableSiteManageCode = True '是否启用后台管理认证码 是： True 否： False
Const SiteManageCode = "8888" '后台管理认证码，请修改，这样即使有人知道了您的后台用户名和密码也不能登录后台
根据提示，设置相应的认证码，请一定要把默认的改掉！否则启不到作用。另外有些用户喜欢将认证码取为和网站域名一样，这样也不是很安全，容易被不法分子猜到。
c、修改后台管理目录
科汛默认的管理目录是admin，为了安全起见，建议把它改掉,改了管理目录以后需要到后台基本信息设置->其它选项里也改一下
后台管理目录：/Admin 改成和你设置的目录一致！否则可能导致后台有些功能无法使用。
d、修改默认管理用户名，密码
科汛初始用户名admin　密码admin888 ，请一定要改掉！
e、目录安全设置(也是比较关键的一步)
　注意有些目录不要给太大的权限，比如upfiles设置为不允许执行asp，FriendLink,GuestBook,Images,ks_cls,user等不给修改权限
　再比如你的网站是启用了生成静态功能，并且都生成在html目录，那么只需要给html目录及根目录(生成网站首页需要有修改权限)]上传目录(upfiles)等具有修改权限，其它目录都可以禁止修改！
　科汛程序如果其它目录不给修改权限，可能需要稍改两个文件
一个是ks_cls/ks.managecls.asp
找到Sub ClassAction(ChannelID)
exit sub
Response.Write "[i,[/i,"
加上红色的字，让添加／修改栏目时不要自动生成搜索文件search.js，这样才不会因权限不够而提示出错
另一个是admin/ks.system.asp(当ks_inc目录禁止修改里需要修改如下代码)
找到如下
RS("TBSetting")=ThumbSetting
RS.Update
Dim FSO, FileObj, FileStreamObj,FileContent,FileName
Set FSO = CreateObject(KS.Setting(99))
FileName = Server.MapPath("../KS_Inc/ajax.js")
Set FileObj = FSO.GetFile(FileName)
Set FileStreamObj = FileObj.OpenAsTextStream(1)
If Not FileStreamObj.AtEndOfStream Then
FileContent = FileStreamObj.ReadAll
FileContent=GetAjaxInstallDir(FileContent,installdir)
Set FileObj = FSO.CreateTextFile(FileName, True)
FileObj.Write FileContent
End If
Set FSO = Nothing:Set FileObj = Nothing:Set FileStreamObj = Nothing
这个是自动获取安装目录，自动修改ks_inc/ajax.js的里安装目录文件，也可以需要删除！
f、如果你的网站标签没有启用ajax输出，可以把ks_inc/ajax.js文件删除
　打开文件ks_cls/ks.rcls.asp] 并找到
Function Published()
On Error Resume Next
Published=vbcrlf &"" & vbcrlf
If SysVer = 0 Then
把红色的删除，并所有页面重新生成，即不会调用到ajax.js
　另一种方法是改ajax.js文件名（根据目前发现很多用户的网站被挂都是出现在ajax.js），可以尝试改这个文件名称。如ajax2008.js等。
g、一个网站程序安装了其它程序的插件
如果你的程序并非只装有一个科汛程序，比如还装一些论坛程序，博客程序。这种情况也有可能会导致科汛程序被挂马。
h、删除不想要用的科汛插件或程序
　科汛程序的插件都放在plus目录下，如果你觉得这些插件没有什么作用，你可以尝试删除
　科汛最新版里的plus主要有三个目录可以删除,cc,sk_cj,wss,需要注意的是删除cc需要修改编辑器的一个文件,不然可能导致科汛自带的编辑器无法使用。具体文件在ks_cls/ks.editorcls.asp
打开文件并找到
[flash]http://union.bokecc.com/flash/plugin_" & buttonstyle & ".swf[/flash,[/td]"
改成
ButtonArr(2,31)="[td][/td]"
　　还有一个文件是ks_inc/online.asp，这是站点计数器的文件，如果你没有用到，也可以删除.
2、服务器方面
排除程序方面，就有可能是服务器安全方面的漏洞了。比如iis挂马，arp期骗挂马。这里你如果是自己的服务器就得注意做好服务器安全工作，如打上iis的所有最新补丁，装arp防火墙等等
以下给出几个常见可能的挂马方法及处理方法
1、服务器所在网络有ARP病毒（不一定要服务那台机器中了才会有，网内其他机中IIS出去的网页都会中招），打ARP免疫补丁，装ARP防火墙，杀毒软。
2、服务器主机中了病毒，系统多出未知进程。
3、病毒加在IIS 的ISAPI扩展，此处多出一项启动状态的未知道扩展，停止IIS，找到它相关的文件删除，重启IIS一般能解决。
4、配置文件挂马
%windir%\system32\inetsrv\MetaBase.xml 这文件里面有类似的：DefaultDocFooter="FILE:C:\Inetpub\wwwroot\iisstart.htm" iisstart.htm文件内有病毒代码。删除它一般就能解决。
相关文章：解决网站iframe挂马方法