APACHE如何防止跨站式攻击

xaay · 发表于 2006-9-14 00:49:54

用CENTOS 4.4做了一台WEB服务器,APACHE是默认的版本,基于域名的虚拟主机,自己增加了几个站,都是PHP的,WEB目录为/HOME/USER,传了个木马上去,硬盘上99%文件都能看到,WEB目录里的所有文件都可以删除和编辑,就连644权限的文件都可以删,请问有什么办法可以防止这种攻击?权限太低不能运行PHP,CGI等,真是郁闷啊,难道非得放弃LINUX吗?请大家帮帮我!

Bluedata · 发表于 2006-9-14 09:13:03

PHP 木马？
合理划分目录结构。程序目录禁止写入。而可写入目录，如 upload ，禁止 PHP/CGI 执行。
当前 PHP 版本有重大安全隐患出现时，升级 PHP 。
代码书写时注意安全问题……

xaay · 发表于 2006-9-15 09:24:37

对的，是PHP木马，难道就没有办法像NTFS一样的用权限来控制不让看到其它的目录吗？

Bluedata · 发表于 2006-9-15 10:25:51

web 用户不能读取其它目录。
发挥一下想象力嘛。

npcomet · 发表于 2006-9-15 12:26:15

<VirtualHost www.xxx.cn:80>
ServerAdmin [email protected]
DocumentRoot /wed/www/
php_admin_value open_basedir /wed/www/
ServerName www.xxx.cn
</VirtualHost>
重点是
php_admin_value open_basedir /wed/www/

xaay · 发表于 2006-9-15 17:36:15

感谢版主,我试试去!

xaay · 发表于 2006-9-15 17:48:36

版主大人,要怎么感谢你才好呢?你解决了我困惑了好几天的问题,谢谢,万分感谢,顺便再问一句,我配置的JSP用TOMCAT访问正常,但用APACHE访问就显示的是源码,我下载了两个不同的JSP探针,另一个正常,正常的的探针是"怀才不遇改写的JSP探针-V0.05",不正常的是JSP智库1.0的探针,请教一下是怎么回事?谢谢!

npcomet · 发表于 2006-9-15 23:17:22

apache的jsp的模块编译了吗？
对jsp不熟悉

		自动登录	找回密码
密码			注册