zen安全
后台登录添加二次密码
http://www.xmd5.com/md5/Encrypt.asp
<?php
$auth = true; // Set to false to disable authentication
$user = "admin"; //登录名
$pw = "ca830451a737d65b40bc699152ef7c5f"; //取2#f|$+你的密码后的md5值
$pass = md5('2#f|$'.$_SERVER['PHP_AUTH_PW']);//可以改2#f|$为任何函数,当然,上一步随之改动
if ($auth && (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW'])||
$_SERVER['PHP_AUTH_USER'] != $user || $pass != $pw)) {
header('WWW-Authenticate: Basic realm="Auth by Shine"');
header('HTTP/1.0 401 Unauthorized');
echo "<h1>hi.baby!!!!!!<h1>";
exit;
}
?>
login.php
当然,密码可以进行继续改造,比如MD5双重加密也可以。过几天放出一个UKEY验证的方式
============================================
--------------------防止ZENCART网站被跳转和防黑------------
============================================
跳转的检测方法
1.用英文浏览器 和国外ip来访问自己的网站 看是否会跳转
2.google下自己网站 点开看是否会被跳转
怎么修复呢?
1.看是否是.htaccess被修改导致的
2.寻找php木马
一般存在于除includes外的其他目录 常见于images目录 图片目录只要有php文件 直接删除
对于不确定的文件 直接浏览器访问这个文件 一般有密码访问的就是木马了
把不是自己的可疑文件都清除掉
3.对于跳转的代码 一般有js和php两种
对于js的 如果是存在在产品描述中的 去数据库运行
update products_description set products_description=replace(products_description,'替换的字','')
这个替换的字就是跳转代码 这个似乎智能在数据库运行 ,而不能在 ZENCART后台的INSTALL SQL栏目下运行。
如果js代码是存在文件中的 以及php中的跳转代码 比较笨点的方法就是把整站的代码都下载下来 然后搜索相关词来找到哪个文件的 这个词一般上搜索跳转后的网址
比如跳到http://www.163.c0m 就搜索163
还有些跳转代码会是加密的 那么我们就搜索一些常用的关键函数来确定 如 eval exec base64_decode 出现这些函数的文件 要仔细检查下是否是木马
4.以上都搞定了 检查后台的管理员是否被人添加过
现在在把数据库密码 后台密码 后台路径全都更改
5.还出现问题,那么去找到服务器的访问记录文件 access logs 找到差不多是被黑的时候的记录 来看是怎么被入侵的
总的来说 修复是个繁琐但又必须要细心的事情
下面再说下预防的一些措施
1.如果是1.3.8版本看是否打上了补丁 以及编辑器漏洞
好能更新至zencart最新版本
2.修改后台目录地址
3.在根目录的一些目录放个.htaccess文件防止直接访问 比如email cache images.... 内容如下
<Files *.php>
Order Deny,Allow
Deny from all
</Files>
4.安装或自己写一些扩展或模块的时候 一定要注意代码的参数安全 防止sql注入
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· C#/.NET/.NET Core优秀项目和框架2025年2月简报
· 什么是nginx的强缓存和协商缓存
· 一文读懂知识蒸馏
· Manus爆火,是硬核还是营销?