剛?cè)肼殯]多長(zhǎng)時(shí)間，網(wǎng)站一直有人上傳木馬，基本網(wǎng)站一直處在被人攻擊的狀態(tài)，糾結(jié)阿。一直忙著解決這問題了。今天好不容易有些成就，就拿出來和大家分享一下，如果大家有什么好的方法，可以教教我.這兩天為了這事兒頭疼死了.

　　網(wǎng)站現(xiàn)在大體的情況是dede+smarty開發(fā)的博客系統(tǒng)+dz，百度和谷歌的權(quán)重都在5左右，所以訪問量還是比較大的。

　　dede公認(rèn)的漏洞比較多，而且接手的這個(gè)dede還二次開發(fā)過。所以短時(shí)間內(nèi)找漏洞是不太可能了，如果有朋友之類的話，可以讓他們一起檢測(cè)，畢竟一個(gè)人太麻煩了，或者加我QQ2387813033

　　1.網(wǎng)站目錄安全性

　　1>所有的目錄可以設(shè)置777權(quán)限，css和images文件，css可以設(shè)置讀寫權(quán)限，不給執(zhí)行權(quán)限，css經(jīng)常改的話給寫權(quán)限，圖片文件只給讀的權(quán)限就可以了,去掉所有不用經(jīng)常改的PHP文件寫入權(quán)限，不給任何攻擊者將代碼寫入php中的機(jī)會(huì)

　　2>經(jīng)常掃描是否有特殊后綴或者新被上傳的文件，看源碼,尤其是inc后綴的

　　2.網(wǎng)站安全檢測(cè)

　　1>360網(wǎng)站安全檢測(cè)，這個(gè)還是比較好使的，不過360有沒有其他的想法就不知道了，哈哈檢測(cè)完了有修復(fù)的提示。

　　2>自己寫一個(gè)檢測(cè)網(wǎng)站木馬文件的腳本，網(wǎng)上也有，他本身就是木馬，找一個(gè)沒有后門之類的，上傳上去，自己檢測(cè)。這個(gè)還是非常不錯(cuò)的。看清楚源碼以后刪除木馬文件。

　　3>使用DOMAIN3.5之類的上傳注入軟件自己測(cè)試一下網(wǎng)站。

　　3.修改服務(wù)器配置增加安全性

　　1>在apache配置文件中禁止一些目錄執(zhí)行php文件的權(quán)限，比如uploads/,html/等。下面是一個(gè)例子: