如何部署一个安全的动网论坛

下载首页

网络学院

最近更新

ASP技术 PHP技术 JSP技术 .Net专区数据库网站建设服务器图形图像程序设计网络安全冲浪宝典软件教学认证考试特别专栏

ASP代码	.NET代码	PHP代码	CGI&Perl	Java代码	Flash代码	C/C++/VC	PowerBuilder	Delphi	VisualBasic	论坛相关
常用软件	汇编	开发工具	控件库	服务器类	书籍教程	网页素材	VisualFoxpro	字体下载	其它源码	商业注册

赞助广告

当前位置：网络学院 → 特别专栏 → 建站经验 → 如何部署一个安全的动网论坛

如何部署一个安全的动网论坛

日期：2005年6月28日作者：人气： 查看:[大字体中字体小字体]

今天偶尔上来，发现有不少朋友关心这个帖子，先谢谢了。以前写的很匆忙，今天做了一些补充和完善。

这是我论坛被黑了3次后的一个心得，官方现在极其缺少这方面的指导文章，希望我的惨痛经历所得到的一些经验能够对能对大家有所帮助。

首先，如果你的论坛被黑了，请首先备份你的数据库，然后将你的论坛中所有的asp文件都删除，或者逐一检查asp文件的代码，然后使用官方最新的下载包传上去，以避免黑客留下的后门被继续利用。之后在到管理后台看下是否有多出来的管理员帐号，并修改所有管理员的帐号和密码。

如果你的论坛继续是6.0的没有升级，而且无法按照下面所说的第二和第三条进行设置，那就放弃6.0，升级到7.0sp2吧。

下面进入正题。

面向范围：拥有可以进行完全控制的服务器，或者可以让你的空间服务提供商帮助你实现以下设置。

论坛常见的三个风险：（1）浏览帖子者自动转向指定页面（木马或病毒页面），俗称跨站攻击；（2）被人利用上传组件的漏洞上传asp木马，从而对论坛数据甚至服务器安全造成重大影响（如此次使用动网论坛的被大规模攻击的情况就是利用了上传组件的一个漏洞）。(3)插件的漏洞：由于插件存在安全上的漏洞，常见的是被使用SQL Injection攻入，导致论坛不安全。

1.论坛的安全设置：关闭flash标签，设置论坛脚本过滤扩展

攻击者可以利用flash标签发表特殊的帖子，让所有浏览到其发帖或者跟贴的论坛用户都会自动转向其指定的包含有恶意代码的页面。具体在各个版面的高级设置中。

若您的论坛开启了html解析，在后台基本设置中的“论坛脚本过滤扩展设置”中过滤iframe|object|script|标签，若不过滤，则攻击者照样可以使用html的这些标签实现页面自动转移。

2.IIS中的设置：

对不需要asp有执行许可的目录，如data目录，images目录,uploadfile,uploadface等里面没有asp文件的目录，根本不需要对其设置asp的运行权。而默认是整站都有asp的运行权的，所以需要在IIS中将以上目录的“执行许可”设置为“无”（在IIS管理器中右键点相关目录，选择属性，在属性界面中设置）。

执行禁止这些目录的尤其是uploadfile和uploadface这些上传相关的目录的asp执行许可，能够使得即使有人利用了动网的上传漏洞在这些目录里面传上了木马文件，但这些asp木马文件却无法运行。

3.NTFS中的设置：

NTFS权限设置应该是一个安全设置的基本前提。设置方法，右键点某个目录或文件，然后选“安全”，即可看到相应的用户组的权限。

关键点有：

（1）删除默认的Everyone对web目录所有的权限。

（2）一般情况下，Administrator和system对web目录应拥有完全的权限。

（3）对bbs的放置目录设置IUSR_ServerName（此帐号是web访问者使用的系统默认帐号，系统表示为Internet访问用户）的详细权限：只有四个目录需要有"修改"的权限，分别是skins，data,uploadfile和UploadFace，其他的目录和论坛根目录设置“只读”的权限即可。这样设置的目的在于，即使被人上传了asp木马，若没有取得管理员权限，他也无法对论坛的asp文件进行修改，从而使得即使被攻击，也可以将损失面降低到最少（比如你的插件和自己写的代码不会被删除）。设置时，可以先将bbs的目录的IUSR_servername权限设置为"只读"，然后在针对需要有写权限的四个目录增加"修改"权限即可。

另外就是尽量不要安装插件，除非你确认此插件很安全。目前SQL Injection攻击很流行，很多程序都存在这种漏洞，如果影响范围大的话可能会影响整个论坛的安全。如果插件程序使用了上传功能，请将其上传使用的的目录的执行权限也设置为无。

4.随时注意动网官方的更新，及时打上最新的安全补丁。

以上安全设置，是在论坛所在服务器整体安全的情形前提下所针对动网进行的细化设置。若整体服务器都不安全，能被人轻易取得管理员权限，则倾巢之下，焉有完卵。

附加：这里有篇文章，通过修改动网代码，来过滤绝大部分的常见木马文件上传，对于无法做到以上安全设置的朋友非常有用：http://bbs.dvbbs.net/dispbbs.asp?boardID=8&ID=849239&page=1

我的一直受攻击，现在没有了，安全多了，人也踏实了！

（1）采用IP策略安全，我有一个文件，可以直接导入就可以了。

（2）定期升级windows

(3) 安装Mcafee企业版，8.0, 要常规设置上，要添加禁止在系统目录下创建和运行一切exe, dll, bat等文件

（4）安装防火墙sysgate

（5）采用Mcafee再次封闭一切不用的端口，与IP策略器，以及sysgate一道，共有三次的封闭，我想突破其一，就难以突破其二！经常可以看到有人扫描端口，大部分防火墙可以封闭。但是少数突破了，却被IP策略管理屏蔽了。即使再突破，Mcafee可以阻止。

（6）Mcafee可以防止大部分asp木马。但是不太理想，建议装一个AVP，不要防火墙，安装后，定期扫描一下全系统，去除Mcafee发现不了的木马。

（7）禁止没有ASP文件的文件夹中一切运行ASP的权限。

（8）采用SQL数据库，数据库与IIS文件不放在一起。

（9）取消everyone的过高权限。不过动易需要很高权限。

（10）其它是一般的安全措施，如禁止什么Netbios等，这不说了

（出处：CodeFans.com）

相关文章：

相关软件：

·动网论坛 Ver 7.0.0

·动网论坛 Ver7.0 SP2 SQL系列程序

·动网论坛Ver 7.0.0首页调用

·动网论坛首页调用(DV 6.1.0)

·动网论坛首页调用(DV6.0)

· 动网论坛Ver7.0.0 Sp2升级程序 7.0.0

·动网论坛Ver 7.0.0 Sp2

·Leadbbs288 To 动网论坛V7.0转换程序

·动网论坛V6.x To V7升级程序

·动网论坛本色时代修改版


	特别推荐


	热点TOP10