今天谈Wordpress的安全.. 最近WORDPRESS一直很不安全..0DAY漏洞经常有~所以就需要对程序进行安全设置 ========================================================== 第一步:设置可执行。将wp-content,wp-includes,wp-admin/css.wp-admin/images,wp-admin /import,wp-admin/i...

一个朋友的服务器出现了一个莫名其妙的inetd 进程，开了 21000 端口，怀疑被入侵。登陆上去简单检查了一下，发现骇客不留神把后门的一个副本，遗留在临时目录下。经过检查是个用 perl 脚本写的后门。叫 Telnet-like Standard Daemon。后门找到了，入侵事件也基本被定性。 1....

1 .设置严密权限 上传目录只给写入、读取权限绝对不能给执行权限 每个网站WebSite使用独立用户名和密码权限设置为Guest 命令: net localgroup users myweb /del 设置MSSQL、Apache、MySQL以Guest权限运行:在运行中打:service.msc选择相应服务以个Guest权限账户运行 2.防止SQ...

0x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写（也缩写为XSRF），直译过来就是跨站请求伪造的意思，也就是在用户会话下对某个CGI做一些GET/POST的事情这些事情用户未必知道和愿意做，你可以把它想做HTTP会话劫持。 网站是通过cookie来识别用户的，当用户成功...

服务器asp.net权限设置问题及解决方法 本人服务器使用环境:WIN 2003ASP.NET相对于ASP,设置权限方面有点不同，有一点儿设置错了都运行不到。在网上搜索到的都是很垃圾的答案，没有一个用得到的，下面是我自己设置并从中遇到的问题摸索后得到的经验，给大家分享。ASP.NET需要...

严格部署防止扫描的方法 一、防扫描，让攻击者晕头转向 几乎所有的入侵都是从扫描开始的，攻击者首先判断目标主机是否存在，进而探测其开放的端口和存在的漏洞，然后根据扫描结果采取相应的攻击手段实施攻击。因此，防扫描是安全防护的第一步。防扫描做得好，就会让恶意攻击...

前几天在某论坛上看到过一篇关于找回密码功能的暴力破解的漏洞 感觉这个漏洞是常有的，但是很少被注意到。不过这个漏洞危害却很大，可以找回管理员密码。下面看一段代码 $rand = md5(random(0,6)); 这就是一个生成6位随机数并MD5加密后的找回密码链接不过这样危害却很大，因...

MySQL 是一个真正的多用户、多线程SQL数据库服务器，它是一个客户机/服务器结构的实现。MySQL是现在流行的关系数据库中其中的一种，相比其它的数据库管理系统（DBMS）来说，MySQL具有小巧、功能齐全、查询迅捷等优点。MySQL 主要目标是快速、健壮和易用。目前，在大中型企业...

网站被入侵之后，肯定会有一些后门，这些后门对网站安全非常危害，下面说下如何检查网站的后门。1.查看网站的最后修改日期 看哪个文件的修改日期不和谐就比如那个修改日期是26的就是不和谐的打开这个 不和谐的 文件夹 这个4ngel.php就是不和谐的文件，删掉吧还有一些图片，是...

禁用不安全的PHP函数,有些php函数是不够安全的,我们必须要加强安全配置,如果做虚拟主机,建议禁止php函数列表如下: disable_functions = system,exec,shell_exec,passthru,proc_open,proc_close, proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,po...

目前很多的DDoS攻击者，一般是通过php挂马，利用php shell发包，然后执行ddos攻击。成本非常低价，有人说根我说，控制上千服务器发包一个ddos系统，花几百块就可以搞掂，压了一下我的一台G口的 美国服务器，基本是秒杀 . 哭，现在这网络情况，唉 闲话了.以下教您通过改变一...

闲来看了一下BLOG统计,发现有个别人的域名解析过来,不知道他什么目的. 但哥的BLOG不是谁想连都能连的.弄他! 要实现的目标:除了自己的域名,其它的解悉都屏避掉.可以在这个网站上查询到自己的IP被多少域名解悉了。 一、安装－－配置APACHE 由于BLOG存在于服务器的虚拟机上，所...