本文目录一览:
- 1、php漏洞怎么修复
- 2、我的网站在百度搜不到怎么办?
- 3、MetInfo建站确实不错,怎么去除5.3.8版本的底部版权信息呢?
- 4、去除MetInfo版权会怎么样
- 5、公司网站经常受到攻击是为什么?正常吗?
php漏洞怎么修复
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
metinfo建站系统使用的PHP语言开发,数据库采用的是mysql架构开发的,在整体的网站使用过程中,简单易操作,可视化的对网站外观进行设计,第三方API接口丰富,模板文件较多,深受企业网站的青睐,建站成本较低可以一键搭建网站,目前国内使用metinfo建站的网站数量较多,该metinfo漏洞会使大部分的网站受到攻击影响,严重的网站首页被篡改,跳转到其他网站,以及网站被劫持跳转到恶意网站上,包括网站被挂马,快照被劫持等情况都会发生。
关于该metinfo漏洞的分析,我们来看下漏洞产生的原因:
该漏洞产生在member会员文件夹下的basic.php代码文件:
metinfo独有的设计风格,使用了MVC框架进行设计,该漏洞的主要点在于使用了auth类的调用方式,在解码加密过程的算法中出现了问题,我们再来看下代码:
通常加密,以及解密的算法是不可以可逆的,但是metinfo写的代码可以进行伪造函数值进行逆算,我们看这个构造的恶意函数,这里的key值是从前端met_webkeys值里进行获取,将获取到的webkeys值进行写入,并赋值到配置文件里,config目录下的config_safe.php代码里。我们通过查看这个代码,发现写入的值没有办法进行PHP脚本的执行,本来以为可是伪造key值进行写入木马,发现行不通,但是在这个伪造key值的过程可以进行sql注入攻击,采用是延时注入方式进行
关于metinfo漏洞的修复建议,以及安全方案
目前metinfo最新版本发布是2019年3月28日,6.2.0版本,官方并没有针对此sql注入漏洞进行修复,建议网站的运营者对网站的后台地址进行更改,管理员的账号密码进行更改,更改为数字+字符+大小写的12位以上的组合方式,对网站的配置文件目录进行安全限制,去掉PHP脚本执行权限,如果自己对代码不是太熟悉,建议找专业的网站安全公司来处理修复漏洞,国内SINE安全,以及绿盟,启明星辰,都是比较不错的网站漏洞修复公司。
我的网站在百度搜不到怎么办?
1:如果是新建不久的网站,搜索引擎对新建设的网站收录需要一定的时间,一般百度需要30-60天,google需要15-45天,当然也有可能因为站点的内容质量问题搜索引擎拒绝收录。
2:一般新站在做推广时,我都会建议进行基本的关键词优化和搜索引擎提交,用户可以通过不断更新网站内容和争取外链来提高网站被搜索的几率及排名。一般来说新站只要坚持每天更新,并在几个收录快的论坛上发一发网址就能很快被收录了。
3: 你可以在搜索引擎中输入:site:你的域名(如"site:")来察看网站的收录情况。
4: 如果你的网站已经上线了45天以上,请你检查以下几种情况:
1、你搜索的关键字是否与你的网站所推的关键字一致,还有就是有可能关键字排名比较靠后;
2、你是否添加或者更新过网站内容,一个内容少而且又不更新的网站搜索引擎是很不喜欢收录的;
3、你的网站是否已经被搜索引擎列为黑名单了。
附加*: 如果你想提高关键词在搜索引擎的排名,可以查看“seo的相关设置“,搭配cms系统做出来的网站效果更佳哦!
MetInfo建站确实不错,怎么去除5.3.8版本的底部版权信息呢?
1:合法去除:购买官方商业授权,然后去应用商店下载去除授权的应用就可以 2:擅自去除:会进入MetInfo官方的黑名单网站列表,后期无法升级系统与更新应用
去除MetInfo版权会怎么样
在没有取得授权的情况下去掉,如果是个人非盈利性质的使用,一般没什么问题,如果用作盈利的话,如果被发现就涉及侵权了
公司网站经常受到攻击是为什么?正常吗?
其实做好以下几点就能减少甚至完全阻止黑客攻击:
1.选择安全稳定的建站系统:网站实质上是一款软件,软件都会有安全稳定相关指标,搭建企业网站时应尽量选择运营维护时间长、开发经验丰富、且可以持续更新升级的大品牌建站系统,如metinfo。切勿选择那些小建站公司从网络下载的建站源码再修修补补给你使用。
2.选择php或java开发语言,并务必使用linux服务器(windows服务器受攻击的概率会大很多倍),如果是虚拟主机,请注意一台服务器是是否放置了其他容易受攻击的站点。
3.网站上线后做好安全设置防范工作:隐藏后台管理登录地址,将后台管理员账号密码尽量设置为复杂的字符,及时将网站系统升级到厂商最新版本。
我们实践过程中,很多用户虽然选择了我们自主开发10年的米拓企业建站系统,但因选用了windows虚拟主机,而且网站后台地址和账号密码过于简单,且很少升级,经常有用户网站出现被黑的情况,虽然支付技术支持服务费用我们官方可以提供清马和升级服务,但网站被黑会给关键词排名和用户访问造成负面影响。
因此网站的安全很大程度上取决于建站系统、服务器的选择和日常运营的安全防范措施。
只要注意以上几点,没有技术人员同样也可以确保企业网站安全稳定的运行,远离黑客木马。