何防范曼波遭遇黑客的攻击 （zt）

何防范曼波遭遇黑客的攻击
作者： zhous
曼波使用者cozimek圣诞节期间发现他建设的一个曼波网站被黑――他当初把建站工具从Post_Nuke转为Mambo的目的就是为了逃避黑客。虽然迄今为止曼波网站被黑的事例我还只看到这一宗，但未雨绸缪，防范于未然对于一些网站总是有必要的。
如果你的服务器使用的是php4.3.9或php4.3.10的时候，以下安全建议就更值得一看了。
1、建站时让你的曼波网站更隐藏：这些那些专业知识有限，却能使用他人开发的脚本和程序的攻击者们可能就搞不清楚你是否在使用曼波。
2、锁定你的曼波网站，让知道你的网站基于曼波而构建的黑客无孔而入。
要做好第一个方面的工作并不容易，你得知道黑客通常是使用什么搜索工具和参数来寻找曼波网站。以下是一点共享经验：
① 删除或注释掉曼波的meta-tag
② 删除源代码中Mambo这一名称
……光这两项工作估计就不是件轻松的活。
③ 曼波为了保证后台可以调整"全局观设置"，而使得configuration.php文件通常的属性为 "777"。这可能是曼波最大的隐患。第三个方面的关键是要保护好configuration.php文件，黑客只要窃取了它，就获取了你的数据库密码，那样基本上就无孔不入了！为了锁定曼波网站，你可以取消所有文件与目录的777属性（chmod777），并且所有文件与目录的属性值不低于400。事实上任何"xx7"的设置都等于给黑客留下了一个便利的通道。
④ 众所周知网站的管理密码也要注意，很多黑客得手都是因为我们使用了"弱口令"，比如有的习惯将管理帐号设置为"管理员：admin密码：2005"等等。最好的密码是8个字母以上，数字与字母混合，不包含任何英文单词或中文拼音。两三个月更换一次――好麻烦是不是……黑客来了可能更麻烦！
⑤ 不妨把登录做个限制：一个访问者登录五次不成功就屏蔽其IP十分钟（当然登录处应该有警告性的提示），这样可以让"死缠烂打"的密码生成脚本望而却步。
⑥另外一个安全手段是通过在administrator目录下的index.php文件中使用REMOTE_ADDR 或
REMOTE_HOST，即通过指定IP地址范围而只允许网络管理员和超级管理员（administrator and super
administrator）来访问曼波管理后台。
⑦国内几大黑客阵营去年年底大打出手，才让我注意到他们的存在。我好奇地跑到几个黑客网站看了看。发现其实多数黑客都是技术迷。既然是技术迷，如果你关心你的曼波网站的安全。不妨去向他们请教请教――黑客并非都是我们的敌人。……本站欢迎同时喜欢曼波和黑客技术的朋友加盟。
也有人建议.htaccess应该设置锁定曼波的密码，但也有人认为允许使用.htaccess文件会导致Apache性能的下降，并且如果给予用户较少的特权而不能满足其需要，会带来额外的技术支持请求。
百分百的安全在网络上是不存在的。尽管通过日常备份可以把网站被黑的损失减小到一定程度（如果阿里巴巴停运1小时，损失小不了），但我们还是应该避免一些小错误或者漠不关心而带来的损失。如圣诞节期间PHPbb受到了比较多的攻击，就是因为很多服务器升级到了php
4.3.10，但却没有升级Zend，导致黑客甚至不用直接分析你的网站而通过同一服务器上的其它phpbb黑掉整个服务器上的网站。