dedecms掃描，怎樣判斷一個網站是否適合優化？

發表一下我的個人觀點，僅供參考。我個人認為優化分幾個方向：UI頁面的優化、網站架構的優化、SOE優化、內容審核優化、安全優化等。那么問題來了，就是我們想優化哪個方向。簡單介紹一下，這幾個方向的個人理解。

UI頁面的優化

這方面的優化，好比是人換衣服，網站也一樣，數據是不變的，變化的是前臺的展現形式。對普通用戶的直觀感覺可能是，網站變漂亮了，但實際上可能功能并沒有變化，內容也未發生變化。而在優化的過程中，確實與后臺的技術有一定關聯性的，請專業的UI設計公司設計靜態頁面，請后端的開發工程師來具體對接。

網站架構的優化

網站一般涉及用到的中間件、數據庫、負載均衡、CDN加速等等，沒有哪個方式是最佳的，只有最適合你的。如果你的網站訪問量不大，可能普通的CMS，采用DEDE織夢這類產品，用LAMP方式就可以迅速建站。大型的網站很多人喜歡用JAVA去開發，中間件用Apache、Weblogic數據庫用Oracle什么的也比較多，當然這不是大型網站選擇這種方式的理由，只是多數人認為適合。也有很多網站用PHP、Python寫的，也很好。如果想優化網站架構，那么要找出目前網站到底存在什么問題，對癥下藥。例如你發現網站存在高并發，那需要從應用的負載分擔上調整網站架構。網站架構上優化，這還是要具體問題具體分析，根據您網站的實際情況定，沒法給出判斷標準。

SOE優化

這方面的優化，簡單的說，就是提高網站被搜索引擎搜索到的概率，提升網站的點擊率。因為搜索引擎，說白了，也就是個機器，它如何根據你網站的內容，推薦給合適的用戶，這就需要你的網站要有它能識別到的一些信息才行。這種也有專業的公司團隊來做，相對網站架構的調整，我個人覺得更簡單一些，比較容易開展。

內容審核優化

很多網站，尤其是那些管理不規范的小型站點，小公司，網站可能也就是一個管理員賬號，上傳內容，什么都能發。那對大型的機構，這可能就會有問題了，網站管理員上傳的內容是否合適，連個審核機制都沒有，這就比較尷尬了。但是這方面的優化，我個人覺得是在網站一開始搭建的時候就要考慮，已經既成事實的，那就比較難辦了，肯定涉及網站開發上的大規模調整。

安全優化

安全優化，這個涉及網站頁面、漏洞掃描、基礎網絡等。網站的頁面漏洞，例如Sql注入、跨站腳本漏洞等等，這個最好是找專業人員對網站做一次滲透測試，找到漏洞問題，請開發人員對照修復建議修改。漏洞掃描，主要對中間件、數據庫軟件、操作系統等進行掃描，需要運維人員做配置的優化或補丁安裝。基礎網絡的優化，需要根據網站遭受攻擊的情況，配置WAF、防火墻、DDos設備等等，就不一一列舉了。如果涉及到增加網站的日志審計、權限分離等，這可能要開發大動干戈，這部分是比較難的，既成事實的網站，這方面工作很難開展。安全優化，其他方面大部分工作都可以開展，問題不大。

以上是我對網站優化方面的個人理解，深入探討可以再留言，謝謝。

請問黑人家網站的基本原理是什么呢？

所說某某網站被黑，其實是指黑客入侵網站服務器，非法獲取權限。而黑客入侵的過程大概可以分為七個步驟：

一、信息收集

信息收集，是主要收集關于入侵對象的更多信息，方便后續漏洞挖掘。需要收集以下大概信息：

（1）whois信息：注冊人，電話，郵箱，DNS，地址

（2）Googlehack：敏感目錄、敏感文件、后臺地址、更多信息收集

（3）服務器IP：nmap掃描，端口對應服務、C段

（4）旁注：bing查詢、腳本工具

（5）如果遇到CDN：繞過從子域名下手、dns傳送域漏洞

（6）服務器、組件指紋，操作系統，web容器、腳本語言

二、漏洞挖掘

通過收集到的信息，然后就進行漏洞挖掘。漏洞一般是操作系統或者應用軟件設計的時候由于邏輯不嚴謹，留下了安全漏洞；還有可能網站管理人員配置web服務器或數據庫服務器不當，而留下了安全漏洞。一般漏洞大概如下：

（1）探測web應用指紋：

博客類：WordPress、emlog、Typecho、Z-blog

社區類：discuz、phpwind、dedecms、startBBS、Mybb

PHP腳本類型：dedecms、discuz、PHPcms、PHPwind

（2）xss、csrf、xsio、sqllinjection、權限繞過、任意文件讀取、文件包含

（3）上傳漏洞：截斷，修改，解析漏洞

（4）有無驗證碼：暴力破解

漏洞千千萬萬，這列舉的也僅僅是其中一部分而已。

三、漏洞利用

如果發現某個漏洞之后，就開始漏洞攻擊，獲取相應權限，根據場景不同變化思路拿webshell或者其他權限

（1）思考目的性，要達到什么效果

（2）隱藏，破壞性，探測到的應用指紋尋找對應exp攻擊載荷或者自己編寫

（3）開始漏洞攻擊，獲取相應權限，根據場景不同變化思路拿webshell

四、提權

黑客根據對應漏洞，獲取了一定的權限，但不一定是最高權限，有可能只是一個普通用戶的權限，這個時候就需要配合另外一些本地漏洞來進行提升普通用戶權限了，將權限擴大化。只有把權限提升之后，才更加方便后續的操作。

（1）根據服務器類型選擇不同的攻擊載荷進行權限提升

（2）無法進行提權，結合獲取的資料開始密碼猜解，回溯信息收集

五、實施攻擊

當黑客獲得最高權限后，就可以對目標為所欲為了。包括篡改網站首頁、篡改其他重要文件、竊取信息、上傳后門程序等。

六、留后門

黑客留后門的目的，是為了下次更加方便的進入系統。上傳運行后門木馬便是其中一種手段，當然這種手段很多。

七、日志清理

清理日志是最后的善后工作，因為對操作系統的任何操作，都會有對應的日志記錄下來。已經獲得了最高權限，為了隱藏自身，黑客往往需要刪除或者篡改對應的日志。

（1）偽裝、隱蔽，刪除指定日志

（2）根據時間段，find相應日志文件

結束語

以上是小黃總結的黑客入侵的大概流程，不提供任何入侵具體細節，僅供運維新手或對黑客入侵感興趣人士了解下流程。小黃作為一個網站運維人員，對網站入侵也需要做一定的了解，才能更好的做對應的防護工作。在實際工作過程中，信息收集這部分基本每天都有，可以說幾乎時時刻刻都有探測之類的；即將入侵成功（事中發現異常）和已經入侵成功（事后發現異常）也發現好幾起。

文|技術猿小黃圖|來源于網絡

我是技術猿小黃，很高興為您回答，如果您喜歡我的回答，可以關注我，點個贊，謝謝

如果您有什么想法或建議，歡迎下方留言評論。

香港服務器的防御如何？

Web服務器配置安全是網站運營部門最關心的問題之一,很多租用香港服務器的用戶表示，網站總是被別人冒用谷歌或者搜狗IP掃描網站，導致網站運行與日志文件占比99%以上。頻發的網絡攻擊表明Web服務器是最容易被黑客針對攻擊的地方。這可能是網站系統漏洞，而且攻擊者在掃描網站后，會立馬刪除文件，所以我們壓根很難找到隱藏文件。

web服務器配置會出現的漏洞介紹：

SQL注入漏洞、XSS跨站腳本漏洞可能會導致：釣魚欺騙、網站掛馬、身份盜用、網站用戶信息被盜用(像qq被盜用群發一些虛假、借款、色情信息給朋友)、劫持用戶Web行為、XSS蠕蟲用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS攻擊，像很多色情網站可以做到免廣告，就是通過海量的點擊瀏覽量來挖礦，販賣你身份信息。

清馬+修補漏洞=徹底解決所謂的掛馬，就是heike通過各種手段，包括SQL注入，網站敏感文件掃描，服務器漏洞，網站程序0day, 等各種方法獲得網站管理員賬號，然后登陸網站后臺，通過數據庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容，向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得服務器或者網站FTP，然后直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時，你就會自動的訪問被轉向的地址或者下載木馬病毒。

web服務器被攻擊的解決方案：

網站被被攻擊了，首先查看網站的服務器，當我們發現網站被攻擊的時候不要過度驚慌失措，先查看一下網站服務器是不是被黑了，找出網站存在的黑鏈，然后做好網站的安全防御，具體操作分為三步：1、開啟IP禁PING，可以防止被掃描、2、關閉不需要的端口、3、打開網站的防火墻、刪除不必要的服務。

默認操作系統安裝和配置往往不是安全的。一個典型的默認安裝包含許多網絡服務,比如我們安裝dede后臺的時候，通過修改后臺文件名防范，在選擇應用ftp服務器上傳文件的時候，避免,更多的端口打開,可以每次使用完了以后再選擇可修改變量等操作。

提示:為了網站安全性,可以在每次修改完后關掉操作權限。屏蔽Web應用程序文件謝絕修改，權限設置為只可讀。監控和審計Web服務器。

這些是只能防簡單的攻擊，網站為什么會被黑，網站掛馬是每個站長最頭痛的問題，個人認為網站被黑的原因一般分為兩種。第一種是服務器空間商的安全，導致被牽連。第二種就是網站程序的安全自身的程序安全漏洞被黑被入侵被掛馬。有條件的話可以找專業做安全的去看看. 公司的話可以去Sine安全看看聽朋友說不錯。一般都是網站程序存在漏洞或者服務器存在漏洞而被攻擊了。

解決辦法：

在程序中很容易找到掛馬的代碼，直接刪除，或則將你沒有傳服務器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。找專業的程序員解決是最直接的，當然有錢還是配置好的香港高防服務器了，Juniper SRX防火墻安全可靠，百G級別防御確，復合智能防御策略高效防護。因為解決海量攻擊的最好辦法就是，深淘灘，低作堰，通過更大的流量保護正常流量！

如何做好網站建設？

一個好的公司網站不僅可以樹立好公司的品牌形象，還可以給公司帶來潛在客戶促進成交量。

但是隨著網站的普及，網站的好壞能一眼看出，有的網站流量很大，給公司帶來不菲的收益。有的網站瀏覽人數寥寥無幾，就更不要提收益了。那么，是什么原因造成這種結果呢，小編認為網站的策劃建設帶來

一、網站要抓住適合企業本身的發展和需求很多企業都是沒有任何計劃，突發奇想并立刻實施公司的網站建設，沒有全面思考關于網站的策劃與應用規劃。這樣設計師的成稿率非常低，同時企業也是茫然。亦或者喜歡照本宣科的仿制他人網站！然而每一個網站都有他自己的思路，而且他只適合它專屬的公司,模仿對方的網站只能是一個外表的模仿，而最后改版升級都是很大問題，因為你不知道這個網站的特點與設計思路是什么，當然若仿站不是不可以，而是可以引薦別人的優勢，而不是全部照搬，優質的網站案例還是鼓勵大家去仿制。因此，都未深入了解自己企業的發展和需求來全面考慮網站該如何制作，抓不到靈魂所在，切忌不要盲目建站。二、網站要根據自身企業的用戶群體來進行網站布局

有一類企業網管個人主義很強：如我喜歡這個網站的風格、這樣的導航、產品得放在這里等。整個網站皆為自己的意思走，整個網站根據自己的喜好來，其就未想過難道你喜歡的用戶就都要喜歡嗎？ 亦或者太過于理想化的企業看到其他的企業通過網絡營銷迅速的擴充企業資本與銷售渠道，而茫然投入到企業網絡營銷，并且理想化的認為可以立竿見影見到效益，大量瘋狂的投入，營銷型網站案例是非常受大家歡迎的。企業網站與網絡營銷都是營銷與銷售的一種手段，產品銷售的好壞與產品本身質量還有很多環節是息息相關的，所以要走企業的大戰略，網絡并不是那么神奇。 用戶體驗尤為重要，一個企業的盈利也是靠著用戶，能對癥下藥，能盡量符合用戶的需求結合好的產品，才是一個企業能長穩下去的生存之道。

三、網站要利于搜索引擎，激發企業用戶量很多企業網站建設后，可能連搜索引擎都沒有去登陸，客戶不問起公司網站從來不對外宣傳。網站只有營銷才能對企業產生幫助，他不是什么魔法瓶子，可以自動變出錢來！ 好多企業總是感覺網站內容不夠充實，欄目不夠多，想盡辦法的給網站增加欄目，添加內容!本以為用戶一進入網站會豁然開朗，但是用戶卻是眉頭緊蹙。因為他不知道產品在那里，不知道如何去瀏覽頁面。企業網站建設一定要有主次與層次之分。 要么將網站置之不理，要么看似是在給網站錦上添花，但實則未發揮一個網站的作用或者給網站添加了很多負擔，好的體驗是簡單的操作與內容的一目了然，搜索引擎抓取一個網站，收錄一個網站，給予一個網站排名從而給網站帶來用戶量決然相信此網站是利于用戶體驗的。一個網站的基本設置和規則，是利于網站被搜索引擎抓取的必然條件，但一個網站有好的用戶體驗才是搜索引擎喜好一個網站的最高境界。

四、了解企業自身的競爭優勢

決定建立網站時，網站不能千篇一律，要做能突顯出自己特色的網站，在建立網站時能不一樣的，就有不一樣的效果，甚至還能讓網站眼前一亮

一個網頁的利用的空間是非常有限的，要解決這些問題，網站就要明白企業優勢在哪里，和同行相比哪些可以作為亮點出現的，只有了解了自己的亮點和優勢才能在網上加以體現，增加網站的核心競爭力。

想要在有限空間中想要發揮很大的作用，不僅需要了解瀏覽習慣，還需將重點內容都放于很突出的地方，以傳遞信息會更準確。

五、明確網站建設的目的

在建設網站之前中小企業首先要明確自己的建站目的，因為營銷型網站和普通型網站的建設方向是不一樣的，而且網站建設也不是一種潮流，是一種電子平臺，只有充分了解自己的建站目的才能建設出好符合目的網站，這樣網站，才能最大程度的發輝其作用。

所以想要做好企業網站建設，如果沒有這個能力范圍的，最好選擇最重要的一點就是選擇正規、專業且靠譜的網站建設公司，他們擁有專業的技術服務團隊，有著多年的建站經驗，因此做出來的網站質量會非常高，比如:客翻番團隊免費建設網站又可練下手，發布產品。

我們在選擇網站建設公司的時候，如果不知道怎么判斷，可以隨時查看小編的主頁，有相關的選擇網站建設公司的小方法，大家相互交流。

原文出自[客翻番] 轉載請保留原文鏈接：https://www.kefanfan.com/corp/news/detail_10309?e=tout

你會擔心云服務器安全嗎？

會有危險

我的服務器是騰訊云的（1塊錢一個月）的學生服務器，上面跑著我的小博客，今年八月完成了服務器的docker化，用nginx-proxy完成反向代理和套https。我今天dump下了它的日志，準備看一下日志中有多少有趣的東西。

日志文件的大小足足有16M大，也許幾張高清大圖的大小遠超16M，但是這可是純文本文件啊。為了分析方便我使用腳本將日志文件分字段拆分插入了mariadb數據庫，方便以后分析查詢。

由于使用了nginx-proxy容器作為反向代理，只有以正確的域名訪問我的服務器才會得到正確的響應，通過ip訪問或者通過錯誤的域名訪問統統503。沒想到這個不太刻意的設置居然成了我的服務器的第一道防火墻。

把服務器日志導入數據庫，大概濾掉正常的請求，首先看到的是師傅們掃目錄的記錄。

這些請求全部來自一個香港的IP（大概是個vps），這些大概是掃描服務器中的webshell（webshell是可以通過web直接操作服務器的后門，可以說是一種木馬），也有的是掃描wp-config.php這樣的WordPress配置文件，一般沒有什么危害，只是作為信息收集。

繼續往下看我們發現了更有趣的東西：

有4834條記錄與phpmyadmin的掃描有關。我們知道phpmyadmin是一個很好用的類MySQL數據庫的管理前端，很多學藝不精的程序員很喜歡用它管理數據庫，大大咧咧的把它放在了根目錄，再配以祖傳的弱密碼。被拖庫只是時間和運氣問題。這些流量有來自香港，福建，也有北京。

是不是所有掃描都是那么簡單粗暴呢，并沒有，我們注意了這位師傅的掃描記錄：

風格一改其他師傅簡單粗暴的風格，懷著好奇心我們搜尋了一下這些請求背后的故事。

第一個payload針對的是織夢cms（Dedecms）的任意文件上傳漏洞，這已經是一個老漏洞了，黑客可以利用這個漏洞上傳webshell木馬什么的，最終控制服務器。

第三個payload（xycms）針對的是xycms咨詢公司建站系統的漏洞（都不能叫漏洞了），直接把數據庫放在了web目錄下，真正實現一鍵拖庫。

（廠商忽略此漏洞可真是太蠢了）

下一個漏洞又是織夢cms的，就是那個download.php和ad_js的。這是一個2013年的高危漏洞，因為變量未被正確初始化， 黑客可以通過一套花里胡哨的操作執行sql注入，并且還能通過一個程序把數據庫中的內容寫入文件，最終通過一套連環操作在服務器中留下后門。

下一個是個新漏洞，這個高危漏洞今天7月才被爆出，可以遠程執行代碼，來自Modx Revolution

漏洞全來自php？并沒有，我們注意到這樣一條記錄：

此攻擊針對的是巨硬家IIS 6.0的一個安全漏洞，這是一個利用緩存區溢出的高危漏洞，可以導致遠程代碼執行。

還有一些利用Weblogic的新洞(CVE-2018-3252)，Apache Struts2的漏洞（CVE-2017-5638）的payload我在這里就不再列舉了。當然當然，最有意思的還屬最后一個payload：

這個payload罕見的附上了用戶名，我們在網上搜索和這個payload相關信息的時候發現，這并不是一個針對服務器的攻擊payload，而是針對一些物聯網設備，比如說……攝像頭。

hi3510是海思公司推出的一款視頻壓縮芯片，主要用于攝像頭，我們找到了一份IP Camera CGI的應用指南，找到了相對應的命令用法：

但是我們并沒有在網上搜索到相關的漏洞，但是發現很多網站的日志中都存在這條記錄

所以這極有可能是一個還沒有公開的，物聯網中攝像頭中存在的漏洞。所以，有師傅日了攝像頭當肉雞看起來并不是傳言。

然而，上面分析的這些，也只是黑客黑產冰山上的小冰渣。現實比這要嚴重的多，也許黑客在黑市中販賣著你的隱私，你的服務器，而你卻渾然不知。