« 上一篇文章:【纪念唐山大地震】-电影唐山大地震观后感                                                                 »下一篇文章:SEO案例-虫虫博客快照停滞原因分析
Aug14

Z-BLOG反入侵-程序安全设置

分类: SEO工具 作者: 虫虫浏览: 评论: 28 【偶也来说两句!】
ZBLOG系统入侵
 
上一篇中,说到了虫虫的SEO博客被入侵的事情。虽然,目前我还不清楚到底是怎么被入侵的。或者说是程序漏洞被入侵,还是服务器漏洞被入侵...
 
但是,为了安全一些,把Z-BLOG修改一下,尽量不让漏洞出现,是不会错的...除了安装的时候的文件删除外,还有那些ZBLOG安全性设置呢?
 
在网上搜寻了下Z-BLOG被入侵的文章,虫虫主要是参考的【白银时代】和【第九区】的文章,来修改一些ZBLOG安全性方面的东西;
 
其实,就大家都说过的,Z-BLOG的安全性相对已经比较不错了,可惜,虫虫个人的感觉就是可能漏洞还是存在于编辑器上...好吧,看看达人如何设置的Z-BLOG:
 
第一、z-blog常规安全设置
 
博客后台地址的修改思路:因为zblog的默认管理登陆入口为根目录下的“login.asp”,登陆成功后会自动跳转到“admin”目录进行网站管理。
所以,修改的思路是,修改掉默认的后台地址,那么就要改两部分,一部分是登陆入口“login.asp”,另一部分就是“admin”所在目录的名称。
需要修改的文件名:/cmd.asp
         FUNCTION/c_system_manage.asp
         FUNCTION/c_system_event.asp
           ADMIN/edit_fckeditor.asp
具体修改步骤:   
1、修改登陆入口“login.asp”的文件名,如改为:seoer.asp; 
  打开网站根目录下的cmd.asp文件,查找“login.asp”,只有1处,替换为上面修改后的登陆入口:seoer.asp,大家看虫虫的:www.seowk.cn/login.asp是不是设置的灰常有创意呢?
2、修改网站根目录下的管理目录:
a、修改网站根目录下,/admin目录的名称,如“loveseo”(建议改为不常用的名称);
b、然后修改根目录下的:
根目录下cmd.asp文件,搜索"admin/"(不带引号),共30项,全部替换为你修改后的后台地址,如:“jiaonicai/”;
 
修改以下3个文件,把原/admin目录修改我自己设定的,如 jiaonicai/
FUNCTION/c_system_manage.asp(共4项)
FUNCTION/c_system_event.asp(共2项)
ADMIN/edit_fckeditor.asp(共1项)
 
至此,基本上把网站后台和网站编辑器目录隐藏了起来....  但是面对高级的黑客... 咱们也无能为力...
 
第二、z-blog非主流安全设置
 
博客后台限制级别的修改:
 
1、数据库安全设置:
更改掉Z BLOG数据库安装后默认的名称,然后更改数据库默认路径:
更改根目录文件:c_custom.asp中   Const ZC_DATABASE_PATH=”data/zblog.mdb” 这个字段的路径地址以及数据库名称;当然,目录和文件的修改请与之对应。
 
2、后台验证码:
登录网站后台,然后进入“网站设置管理”>>>“页面设置”>>>“验证码图片中允许出现的字符”,在其中输入一个特殊字符。记住,是一个字符!!!你要是输多了自己都进不去后台你不要来找我。
(这里虫虫劝心情不好的童鞋就不要试了,万一把自己也挡在家门外,那感觉是灰常的郁闷的....)
 
3、去除z-blog 后台文件管理功能:
 
这个其实纯粹是蛋疼才去谈的事儿....  但是,的确有种情况,就是别人知道了你的后台帐号密码,他如果能直接修改网站所有的文件,那岂不是灰常的不爽?就像自己的女人透明的躺在别人胯下...那滋味..
 
1、找到根目录下的cmd.asp文件,将其中的 Call SiteFileMng()、Call SiteFileEdt()、Call SiteFilePst()、Call SiteFileDel()这四行删除,或者使用‘  将其注释掉...
 
2、打开 根目录下/ FUNCTION   下面的 c_system_base.asp文件,修改以下几行,把值从1修改为0,修改成无权限:
Case “SiteFileMng”
GetRights=0
Case “SiteFileEdt”
GetRights=0
Case “SiteFilePst”
GetRights=0
Case “SiteFileDel”
GetRights=0
把Getright =后的1 改为0.
 
3、删除后台对应菜单:
打开在原/admin 目录下的admin_left.asp,将第66行删除:
<p class="button1"><a onclick='return changeButtonColor(this)' href="../cmd.asp?act=SiteFileMng" target="main"><%=ZC_MSG210%></a></p>
 
Z-BLOG系统入侵
 
至此,常规和非主流的方法都讲过了... 广大童鞋敬请蛋疼测试....
 
花了整整一晚上,重新设置博客...总算是搞定了... 
 
杯具的是...设置完之后,没有去测试下,今天回家打开后台,发现自己都登陆不了了.....
 
这里虫虫请大家一定注意:各种设置前,一定把网站备份。尤其非主流设置...(虫虫玩非主流设置导致自己都登陆不了后台了.....)
 
好吧,虫虫暂时先写这么些,后边的2篇文章是文学篇,最近冯小刚的《唐山大地震》,一是,纪念唐山大地震,写下自己的想法---【唐山大地震观后感】然后就是参加公司内部的比赛... 希望自己有所收获,呵呵....
 

 

虫虫软件 于2010-8-14 11:7:11 首发 虫虫博客...

原文地址:http://www.chongsoft.com/blog/SEOtools/seotools18/

 

文章位置:虫虫博客-SEO工具-Z-BLOG反入侵-程序安全设置

 

本文标签:【Z-BLOG】【SEO工具

 

更多关于 【Z-BLOG】【SEO工具】 的相关文章:

  • 评论:(28)
  • 引用
【已有28位友友发表了一针见血的评论】

http://www.chongsoft.com/blog/cmd.asp?act=tb&id=128&key=5b852890
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。