对GD空间安全性的一点担忧

teafaery

那样的话，那个域名不是费掉了？？

goldstein

原帖由 nojay 于 2010-8-23 20:52 发表
根目录下不要开任何权限，建站放到子目录下。这样就程序就没有权限访问到上一目录，也就是空间的根目录，除非他知道物理路径。
但是不知道批量挂马会不会读取到。 ...

已经都进来了，物理路径不等于已经赤裸裸的了？

137950283

每个站设置一个FTP帐户管用吗？

add.c

不管用 。 GoDaddy的虚拟主机不适合合租

nojay

root也就是空间的根目录主站的首页那个目录，取消所有权限，网页无法访问。
其他站放到子目录下，比如google.com绑到abc目录，开启abc的读写权限。
这样如果abc下有木马程序，比如这个文件叫muma.asp
他只能在google.com/muma.asp 通过网页浏览到/abc/ 下的文件。
通过muma.asp访问上一级目录，也就是空间的根目录是无权访问到的，就不能查看到根目录下的文件夹和文件，我请自测过。
但是如果知道路径是可以访问到的，直接输入路径就能进入/xxx/目录。
也不知道批量挂马的时候能否直接访问到上一级目录(根目录)下的其他文件夹和文件。
我亲测过，但是root取消所有权限，过几个小时会出现500错误，重新给予读取权限又好了，再取消权限过几个小时又500错误。
这个问题很严重，GD真不适合合租。
不知道表达得够不够清楚。

aixue

我有解决这个问题的良方，我不说。。。。咳咳，还是忍不住告诉你们吧。

第一，我把我所有的网站登录口都篡改一个很古怪的名字，然后在网站上把管理入口删掉，把登录口的链接放邮箱，平时从邮箱登陆。。
第二，所有网上下载的流行程序，关键页、容易入侵的页面，都用Dreamweaver 8批量修改成其他的名字，这样的话，一般没人能入侵你的网站，除非是服务器被入侵——这是没办法的事儿了。网上黑客，都是用搜索引擎漫无目的的找到流行程序的页面和已知漏洞，才入侵的，你的关键页面都改了名字，黑客在网上搜不到你，他也就没机会**扰你。
第三，FTP用户名和密码，要复杂一些。

[ 本帖最后由 aixue 于 2010-8-26 01:56 PM 编辑 ]