Zen-Cart安全建站的几个措施和步骤
Zen-Cart安全建站的几个措施和步骤的总结:
1、后台地址一定要改掉。
zen-cart 出的漏洞基本都是后台目录下的。改掉后台地址后,就算你的网站部打补丁也不容易被黑下来。这里尤其提醒用lightinthebox 那个系统的用户。不改掉后台地址简直是找死【这里鄙视那些用这套模板骗新手的业务员】。
修改方法:
假如我把后台目录地址admin 改成admin改。
后台目录建议用随机字符。【简单点的就是自己都不知道什么意思,在键盘上随机按几下。】
2、控制images文件夹权限。
很多任意文件上传漏洞所上传的文件都把文件上传到了这里。控制好了images 文件夹权限,网站就不容易死的很难看。一旦被人拿到了网站的WebShell【?这个等效于FTP ++】,那么你的网站的产品数据,zen-cart 数据库,模板都可以被别人拿下来。
控制images 的权限方法变态点的可以设为不可写,但这样自己的网站后台里也上传不了图片。推荐的方法
【也是官方的】是用.htaccess 文件控制权限。
.htaccess 文件的内容为:
# deny *everything*
<FilesMatch ".*">
Order Allow,Deny
Deny from all
</FilesMatch>
# but now allow just *certain* necessary files:
<FilesMatch ".*\.(jpg|JPG|jpeg|JPEG|gif|GIF|png|PNG|swf|SWF)$" >
Order Allow,Deny
Allow from all
</FilesMatch>
IndexIgnore */*
添加index.html空文件【这个是防止images 文件夹被遍历。
总结:在images 文件夹下添加.htaccess 文件和index.html 空文件。最高权限,Chmod 754 images -R
3、后台编辑的页
/public_html/includes/languages/english/html_includes
Chmod 755 * -R 最高权限
Chmod 444 * -R 最低权限
4、删除存在隐患的目录并禁止下载商品
rm docs -fr
rm extras -fr
rm zc_install -fr
rm install.txt -fr
rm download -fr
rm media -fr
rm pub -fr
删除了download目录,需再执行这条代码,禁止下载
update `zen_configuration` set configuration_value='false' where 'DOWNLOAD_ENABLED'=configuration_key
5、打好补丁【漏洞信息请看下面附录】
明知有漏洞而不处理,那只能是等死或者你很失败,你的网站估计就你自己访问过了。也没必要看这份文件了。
6、尽量不要开启MySQL的远程连接
一般的虚拟主机都不会开启这个的。不开启这个功能是有好处的。即使你的数据库资料暴露,别人也连部上你的数据库。
7、不要采用弱密码。
曾经无聊,一个站用尽了办法黑不进去,准备放弃,随手输入admin888,结果后台就进去了,然后毫不客气地把数据删光,这种用户需要在代价中成长。
这里的弱密码主要是:后台密码、数据库密码、FTP 密码。
8、同空间的网站安全。
很多用户是一个虚拟主机里安装了N 个站的。很多时候其实自己就维护一两个网站,其他的网站就不在意了。
很多网站就死在了【旁注入侵】下。所以提醒,你空间里的网站都需要维护,都要注意安全。
9、第三方插件程序漏洞。
插件跟其他程序也是可能存在漏洞的,用的比较多的WordPress blog 程序也要注意打补丁。
总结:
一般的网站做好1 2 3 4 5点就没事了。要是还是被黑了。那恭喜你了,你的网站起码有被别人黑的价值,继续努力。
附上zen-cart 漏洞:
1、zen cart 1.38a Fckeditor 编辑器漏洞【主要集中在国内的中文版】
Fckeditor 上传漏洞
此漏洞早期造成被黑的网站很多,可以将php 文件上传到images/目录
解决:
1、直接删除FCK 编辑器文件editors/fckeditor/ 。
或者只删除editors/fckeditor/editor/filemanager/upload/php/upload.php
2、升级Fckeditor 编辑器,下载最新版http://ckeditor.com/download 注意:不懂配置FCK 的话也可能造成
新的漏洞。
3、控制images 文件夹权限,在images 目录加一个空内容的index.html 文件和一个.htaccess 文件。
复制代码控制好了images 的权限,不让php 等的脚步文件运行的话前面1 2 点可以不搭理。
2、Zen Cart 1.38 本地文件泄露【/extras/ 文件夹下的】
漏洞信息:
得到网页所在路径
/extras/ipn_test_return.php
得到网站配置信息
/extras/curltest.php?url=file:///网站地址/includes/configure.php
读取linux 服务器passwd
/extras/curltest.php?url=file:///etc/passwd
此漏洞可以读取includes/configure.php 文件。里面的数据库信息完全暴露。
解决:升级zen-cart 临时解决办法是直接删掉/extras/目录
3、Zen Cart 1.38 record_company.php模块远程代码执行漏洞
漏洞分析:
Zen Cart 没有对admin/record_company.php 模块强制管理认证,远程攻击者可以通过record_company_image和PATH_INFO 参数上传.php 文件,并通过直接请求images/中的文件来访问上传的文件,导致执行任意指
令。
解决:
1、打补丁。临时办法直接删除admin/record_company.php 文件。【record_company.php 功能没几个人用上】
2、更改后台管理的目录。
3、控制images 文件夹权限,在images 目录加一个空内容的index.html 文件和一个.htaccess 文件,
4、Zen Cart admin/sqlpatch.php SQL注入漏洞
漏洞分析:
Zen Cart 没有对admin/sqlpatch.php 模块强制管理认证,这允许远程攻击者在请求中通过query_string 和PATH_INFO 参数执行SQL 注入攻击。
用的最多的就是给你注入一个管理员账号,结果可想而知。
解决方案:
1、打补丁。临时方法,直接删除admin/sqlpatch.php 文件。
2、更改后台管理的目录。
5、Zen Cart v1.3.9f (typefilter) 本地文件包含漏洞
解决:
升级最新版。这个一般不用太担心。估计很少人用到这个版本的