网站多次被黑,真是搞得我焦头烂额。今天对网站内文件逐个进行扫描,发现《教育科研》的上传文件夹里有异样的gif类图片,不能打开,缩略图也不显示,于是改用记事本打开查看,竟然是木马程序——图片木马!
由于这一学年,我的教学任务繁重(每周14节课),因而有些网站开发管理的工作我就交给一些老师去做,有关网络安全方面的问题我也顾及、考虑得少了些,以致于稍一疏忽就出乱子了——从2月4日被黑开始到5月8日,长达三个多月。
《教育科研》专题网站,是我叫张封开发的一个具有上传文件权限的动态网站,开发试用之后,我就给张封一个FTP帐号,由他直接将其上传到学校网站服务器(托管在电信公司)上对外使用。问题就出在这里——《教育科研》上传文件夹(jyky/uploadfiles)具有脚本运行权限,管理帐号的安全检查机制较弱,黑客利用万能密码就可以登录上传图片木马!
以往,我开发的动态专题网站程序在上传到外网上使用之前,总要先在内网上进行反复的安全检查和测试,不断调试程序,可以说检查、测试、调试的时间远远大于编写程序的时间,就是说编写一个可以运行的程序(或系统)是件容易的事情,而设计一个安全可靠的程序(或系统)就难了。这次,我也真是忙晕了头,结果是自己给自己制造麻烦,整整三个月的麻烦!
好啦,废话少说,赶紧堵漏:(1)禁止jyky/uploadfiles的脚本运行;(2)在登录程序中增加安全检查代码;(3)对网站的其他文件夹进行仔细排查,以防隐藏之敌;(4)更改远程登录和FTP帐号密码……