所说某某网站被黑,其实是指黑客入侵网站服务器,非法获取权限。而黑客入侵的过程大概可以分为七个步骤:
一、信息收集信息收集,是主要收集关于入侵对象的更多信息,方便后续漏洞挖掘。需要收集以下大概信息:
(1)whois信息:注册人,电话,邮箱,DNS,地址
(2)Googlehack:敏感目录、敏感文件、后台地址、更多信息收集
(3)服务器IP:nmap扫描,端口对应服务、C段
(4)旁注:bing查询、脚本工具
(5)如果遇到CDN:绕过从子域名下手、dns传送域漏洞
(6)服务器、组件指纹,操作系统,web容器、脚本语言
二、漏洞挖掘通过收集到的信息,然后就进行漏洞挖掘。漏洞一般是操作系统或者应用软件设计的时候由于逻辑不严谨,留下了安全漏洞;还有可能网站管理人员配置web服务器或数据库服务器不当,而留下了安全漏洞。一般漏洞大概如下:
(1)探测web应用指纹:
博客类:WordPress、emlog、Typecho、Z-blog
社区类:discuz、phpwind、dedecms、startBBS、Mybb
PHP脚本类型:dedecms、discuz、PHPcms、PHPwind
(2)xss、csrf、xsio、sqllinjection、权限绕过、任意文件读取、文件包含
(3)上传漏洞:截断,修改,解析漏洞
(4)有无验证码:暴力破解
漏洞千千万万,这列举的也仅仅是其中一部分而已。
三、漏洞利用如果发现某个漏洞之后,就开始漏洞攻击,获取相应权限,根据场景不同变化思路拿webshell或者其他权限
(1)思考目的性,要达到什么效果
(2)隐藏,破坏性,探测到的应用指纹寻找对应exp攻击载荷或者自己编写
(3)开始漏洞攻击,获取相应权限,根据场景不同变化思路拿webshell
四、提权黑客根据对应漏洞,获取了一定的权限,但不一定是最高权限,有可能只是一个普通用户的权限,这个时候就需要配合另外一些本地漏洞来进行提升普通用户权限了,将权限扩大化。只有把权限提升之后,才更加方便后续的操作。
(1)根据服务器类型选择不同的攻击载荷进行权限提升
(2)无法进行提权,结合获取的资料开始密码猜解,回溯信息收集
五、实施攻击当黑客获得最高权限后,就可以对目标为所欲为了。包括篡改网站首页、篡改其他重要文件、窃取信息、上传后门程序等。
六、留后门黑客留后门的目的,是为了下次更加方便的进入系统。上传运行后门木马便是其中一种手段,当然这种手段很多。
七、日志清理清理日志是最后的善后工作,因为对操作系统的任何操作,都会有对应的日志记录下来。已经获得了最高权限,为了隐藏自身,黑客往往需要删除或者篡改对应的日志。
(1)伪装、隐蔽,删除指定日志
(2)根据时间段,find相应日志文件
结束语以上是小黄总结的黑客入侵的大概流程,不提供任何入侵具体细节,仅供运维新手或对黑客入侵感兴趣人士了解下流程。小黄作为一个网站运维人员,对网站入侵也需要做一定的了解,才能更好的做对应的防护工作。在实际工作过程中,信息收集这部分基本每天都有,可以说几乎时时刻刻都有探测之类的;即将入侵成功(事中发现异常)和已经入侵成功(事后发现异常)也发现好几起。
文|技术猿小黄图|来源于网络我是技术猿小黄,很高兴为您回答,如果您喜欢我的回答,可以关注我,点个赞,谢谢
如果您有什么想法或建议,欢迎下方留言评论。
phpcms_v9多图字段内容页,首页,分页自定义字段调用
说明:自定义多图字段名
1 内容页调用
复制代码
代码如下:
{loop $shigongtu $r}
{/loop}
2 首页,分页调用
第一种推荐位调用自定义字段
在模型里加好自定义字段后,必须把“在推荐位标签中调用”点击“是“
然后用同一样的方法去调节数据就OK了,记住,如果你加了文章,必须去更新文章才会显示,自定义段在推荐中只显示你选择后,选择前加的加文章不显示,更新一下文章就显示了
例子:
复制代码
代码如下:
{pc:content action="position" posid="推荐位id" num="30" thumb="1" moreinfo="1" order="listorder DESC"}
{loop $data $key $val}
{str_cut($val['title'],20)}
{/loop}
{/pc}
普通列表或栏目调用自定义字段
在{pc:content action="lists" 后加上副表moreinfo=1 (等于1时显示,0时不显示)
例子:
复制代码
代码如下:
{pc:content action="lists" moreinfo="1" catid="51" order="id" num="5"cache="3600"}
{loop $data $r}
{$r[title]}
{php eval("\$arr=" . $r[zuzwn] . ";");}
{loop $arr $val}
{$val[url]} |
{/loop}
{/loop}
{/pc}
注:
原来是需要在模板里进行一次PHP变量赋值才行。LOOP标签查出来的变量数组不能直接再使用LOOP循环。
复制代码
代码如下:
{pc:get sql="select * FROM v9_house_data where id=2" num="1" cache="3600" return="data"}
{loop $data $r}
{php eval("\$arr=" . $r[hxt] . ";");} //必须增加这个赋值,才能二次LOOP变量数组
{loop $arr $rs}
{$rs['fileurl']}
{/loop}
{/loop}
{/pc}
废话不多说,直接上干货!
如果只是想做个人网站,就是blog,博客虽然很多人都说这个东西过时了,但是仍然有很多人对它情有独钟!
先问自己几个问题:
1.网站是什么主题?什么定位?
2.有多少预算?
3.是想自己静静的写东西自娱自乐?还是希望日积月累的让自己的网站有价值?或者是不光想保留自己的想法,如果流量起来了,还想挂个广告被动赚点钱?
举个例子。
如果题主喜欢音乐,就想做个推荐好音乐的个人博客。一年有几百元的预算,个人做站,不想太多投入资金。希望其他人能通过百度或其他搜索工具找到他,如果能靠广告营收赚点小钱就更好了。
之后就可以开始了。顺便说一句,如果想挂广告联盟的话,最好是用国内的云服务器。如果不想走广告联盟,找个对应推广的广告挂着也无所谓的,国内和国外的都可以。国内网站需要备案,香港云和其他境外云没这个需求。
1.选择域名&云服务器
阿里云和腾讯云都对新人很友好,很多优惠活动,如果前期流量不大的情况,1核2G 1M的就完全可以负担起一个博客。等人流上来再提升服务器配置也OK。当然,要是遇上大活动的时候,2核4G 3年一千多左右,完全可以考虑入手。不过大活动得碰。不过像之前双十一双十二这种,真是一年当中最合适的入手机会了。
2.选择喜欢模板
只想做博客的话,很多可选择。比如WordPress、Z-blog。装就完事了!
如果印象没错的话,阿里云有直接买了安装WordPress的这种。
3.备案
只要在国内建站,备案就是逃不过去的。个人站长买完域名、服务器之后,申请备案就好。一般阿里云的话,只要过了初审,就可以绑定域名展示了。
4.上传内容
自己建站,内容自己定,原创还是伪原创,全看您自己喜欢。如果想更快点的让百度知道,就注册一下百度站长,把自己的网站推荐了。
5.做好SEO
如果只想自己踏踏实实写东西的,优化一下自己网站的title、keyword、描述等等最简单的站内SEO优化就好。如果还希望能有流量,那就勤快更新点文章,再做做外链。如果写的内容有价值,原创规律,3个月的时间大概就能看到比较好的成效了。
如果觉得纳兰说得有点意思,请关注!谢谢!
作者简介:纳兰说数码,工科毕业,爱玩爱搞机,也深爱写作。关注我,咱们一起聊点有趣的数码产品或者超酷有用的APP。专业建站,专业APP/网站/小程序制作,专业SEO。
淘宝客就必须学会推广,推广的方法有很多种,站外推广有论坛,贴吧,博客,邮件,QQ,视频,微博,广告等等;站内的有,直通车,淘宝客,钻展,卖霸,硬广,活动等等。下面来说说怎么做淘宝客推广。 分三个步骤来...
域名级别说明 四级域 三级域 二级域 顶级域 根域 说明:根域是后面的点(.) 顶级域名,也叫一级域名 英语:Top-level domains(TLDs),first-level domains...
建立一个网站的基本步骤如下: 1、购买域名与空间(万网、新网都可以购买); 2、空间与域名做备案(如不明白具体操作,可以拨打空间服务商的售后电话); 3、制作网站,并上传到空间(网站上传可以使用FT...
楼主的意思是:买了腾讯云的产品(服务器和域名)使用,解析,设置过程中,遇到难题,不知道怎么操作,是吧 ? 现在做解答: 一,腾讯云是什么? 腾讯云是包括云服务器、云数据库、CDN、云安全、万象图片和云...
Webstore下载一个插件 Yet Another Drag And Go 可以通过拖动的方式在前台或者后台打开链接(只需要稍微拖动一点即可,不需要拖动至标签栏),同时也可以通过设置向上或者向下拖...
取消QQ登录不用手机短信验证的方法如下: 1. 首先,打开QQ并登录。进入首页后,点击左上角的头像。 2. 页面左侧弹出下图所示窗口后,点击左下角的“设置”。 3. 进入设置页面后,找到并点击“帐...
1、怎么知道一个域名有没有备案?如何确认网站底部下域名备案号的真伪呢?大部分人都是通过域名来查询备案信息的,其实知道备案号也一样可以查询,方法很简单。打开工信部域名信息查询系统。 2、下拉页面,找到并...
网站换服务器不用重新备案的。 如果换的是同一个接入商,只是换了服务器,或者换了IP,更改下备案资料里的IP就可以了。 如果是从现在的接入商,换到新的接入商,需要提供资料把网站备案转接入到新的接入商。...