最近从阿里云云盾检测流出来的,相比使用阿里云服务器的朋友已经收到漏洞提醒:Phpcms V9某处逻辑问题导致getshell漏洞解决方法,这个漏洞怎么办呢?CMSYOU在这里找到针对性解决办法分享给大家. 漏洞详情: 漏洞名称:phpcms某处逻辑问题导致getshell 补丁编号:7843523 补丁文件:/phpcms/libs/classes/attachment.class.php 补丁来源:云盾自研 更新时间:2016-09-20 13:03:10 漏洞描述:phpcms的/phpcm…

最近网站CPU经常爆满,到阿里云提交了工单,工程师给我的处理意见:   您好,虚拟主机CPU占用比较高通常这种情况有两种可能:   一是网站应用程序代码逻辑较复杂,或业务架构效率比较低,在请求了某个网页后执行了死循环,造成占用CPU较高,您可以对网站程序代码进行优化改善.   二是有可能您的网站被访问量比较大,访问量包括正常的访问,也包括其他人恶意的频繁攻击式访问,您可以根据网站日志文件,筛选下是否有类似蜘蛛爬虫程序在频繁访问您的网站,对您的虚拟主机造成资源的大量消耗.如果有异常IP的话,您可以…

phpcms v9.6.0任意文件上传漏洞(CVE-2018-14399) 一.漏洞描述 PHPCMS 9.6.0版本中的libs/classes/attachment.class.php文件存在漏洞,该漏洞源于PHPCMS程序在下载远程/本地文件时没有对文件的类型做正确的校验.远程攻击者可以利用该漏洞上传并执行任意的PHP代码. 二.漏洞影响版本 PHPCMS 9.6.0 三.漏洞环境搭建 1. 官方下载phpcms v9.6.0版本,下载地址: http://download.phpcms.…

距离上一次写博客已经过去很长一段时间了,最近也一直在学习,只是并没有分享出来  越来越发现会的东西真的太少了,继续努力吧. 中午的时候遇到了一个站点,看到群里好多人都在搞,自己就也去试了试,拿下来后发现不能跨目录,所以扫了一下旁站,就看上了标题中的目标站. 目标站:  iis7.0+php+mysql+win NT /robots.txt 发现如下信息: # # robots.txt for PHPCMS v9 # User-agent: * Disallow: /caches Disallow…

很多网站的导航栏可以实现下拉二级菜单,三级菜单等效果,今天我们就来分享phpcms v9 支持下拉菜单的方法,可以支持无限子栏目调用,具体写法如下: <ul> {pc:content action="category" catid="0" num="12" siteid="$siteid" order="listorder ASC"} {loop $data $c} <li><…

安装环境:windows2008+IIS7.0+PHP5+MYSQL5 一.安装phpcms v9程序,设置伪静态.如图: 二.安装IIS7官方Url重写模块 1.先到IIS官方下载模块 下载地址:http://www.iis.net/download/URLRewrite 根据需要,点击右侧的下载链接(我的系统是64位的,就下载x64的) 2.安装重写模块 我下载的是本地msi包(rewrite_2.0_rtw_x64.msi),双击安装即可(如果IIS服务没停的话,安装完成后会要求重启系统.…

首先,vue和阿里云oss上传图片结合参考了 这位朋友的 https://www.jianshu.com/p/645f63745abd 文章,成功的解决了我用阿里云oss上传图片前的一头雾水. 该大神文章里有写github地址,里面的2.0分支采用vue2.0实现,只不过这个上传图片用的是分片上传,即断点续传,分片上传由于一片是以100kb为起始的,所以当图片大小小于100kb的时候不分片,可以正常上传,当大于100k的时候,会报错如下: One or more of the specified…

转:https://blog.csdn.net/bflong/article/details/79137692 参照:https://blog.csdn.net/imsaws/article/details/15500903 一.环境 Win10 X64 VS2015 PCL1.8.0AllinOne 二.代码 #include "stdafx.h" #include <pcl/point_types.h> #include <pcl/io/pcd_io.h>…

免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责. 0x00 背景知识 war文件 0x01 漏洞介绍 影响范围:Tomcat 8.0版本 漏洞类型:弱口令 漏洞成因:在tomcat8环境下,默认的后台密码为tomcat:tomcat,未修改默认密码就会造成未经授权的后台访问. 0x02 漏洞复现 环境搭建: Vulhub靶场 漏洞利用 访问靶机的tomcat管理页面http://your-ip:8080/manager/html,输入弱密码tomcat:tomcat,访问…

引用源:http://paper.seebug.org/273/ 配置了php debug的环境,并且根据这篇文章把流程走了一遍,对phpstorm的debug熟练度+1(跟pycharm一样) 用户名和email都要随便生成,因为注册名不能相同,所以修改了下脚本. import re import requestsimport sysimport randomdef poc(url): string='' name = string.join(random.sample(['a', 'b',…

现象:在phpcms后台中,新建角色,然后修改角色对应栏目权限,结果一直只能选择一半数量的栏目.剩下的栏目怎么修改都不生效. 对比: step1:再另一个phpcms后台做同样操作,依旧是这个结果.跟踪了半天代码,也没有发现什么问题. setp2: 把之前本地备份的网站进行操作,却发现可以修改. 经过2个部分的对比,发现可能是web环境不同的原因.于是顺藤摸瓜.去看apache的日志文件. [Sat Jan 17 11:42:01 2015] [error] [client 123.147.19…

2018年12月10日,ThinkPHP v5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞.阿里云态势感知已捕获多起基于该漏洞的真实攻击,并对该漏洞原理以及漏洞利用方式进行分析.现在,对于云上未及时进行系统更新的用户,阿里云态势感知已提供攻击告警,WAF产品支持同步拦截,目前云上客户基本未受到影响. 此次漏洞由ThinkPHP v5框架代码问题引起,其覆盖面广,且可直接远程执行任何代码和命令.电子商务行业.金融服务行业.互联网游戏行业等网站使用该ThinkPHP框架比较多,需要格外关…

该教程算不上是phpcmsv9阿里云oss插件,所以整个修改及其代码覆盖前请一定记得备份.还有一点就是后台发布文章时上传的附件还是会保存在你的服务器上,基于以下原因:1.个人的需求是前台页面需要使用thumb函数生成多个缩略图大小,thumb函数是不支持远程图片的(保存在OSS上就变远程图片了),即使修改为支持远程图片,也需要将远程图片先保存到本地,这样速度会非常慢,是非常非常:2.做备份的需要,这点你懂得,某天OSS上的附件没有了就悲剧了,所以使用这个OSS for phpcmsV9需要服务器…

昨天解决了在阿里云负载均衡上部署https证书的问题(详见一个空行引起的阿里云负载均衡上部署https证书的问题),并完成了部署,负载均衡的监听配置是这样的: 用户与负载均衡之间走https协议,负载均衡与后端服务器之间走http协议,这样的好处之一是后端服务器不用一台台安装证书了. 今天早上准备实现当用户以http访问站点时自动跳转为https访问,于是想当然地在后端web服务器中添加了一条如下的URL重写规则(IIS URL Rewrite Module): <rewrite> <r…

说明:这个算不上是插件,因为没有安装包,需要手工修改代码. 还有一点就是后台发布文章时上传的附件还是会保存在你的服务器上,基于以下原因: 1.个人的需求是前台页面需要使用thumb函数生成多个缩略图大小,thumb函数是不支持远程图片的(保存在OSS上就变远程图片了),即使修改为支持远程图片,也需要将远程图片先保存到本地,这样速度会非常慢,是非常非常: 2.做备份的需要,这点你懂得,某天OSS上的附件没有了就悲剧了,所以使用这个OSS for phpcmsV9需要服务器有一定的空间. 下面是整合…

摘要: 开发者分会场致力于帮助开发者学习了解阿里云最新技术,为开发者设计全方位的技术成长与进阶之路. 2019阿里云云上Hi购季活动已经于2月25日正式开启,从已开放的活动页面来看,活动分为三个阶段:2月25日-3月04日的活动报名阶段.3月04日-3月16日的新购满返+5折抢购阶段.3月16日-3月31日的续费抽豪礼+5折抢购阶段. 活动核心亮点: 作为阿里云-Hi购季最神秘的会场,开发者分会场在3月16日全网开放.下面,云栖社区小编就为各位开发者分享该会场的攻略:开发者分会场活动阵地关键词:…

近日,在经过近半年的上线公测后,阿里云全球首个跨入IOPS百万时代的云盘——ESSD即将迎来商业化,单盘IOPS高达100万,这是阿里云迄今为止性能最强的企业级块存储服务. 搭配ECS云服务器使用, ESSD可提供单盘高达100万IOPS的随机读写能力,相比SSD云盘分别提升了40倍性能上限和降低了70%读写时延.ESSD单盘最大容量为32TB,为客户提供更高的性价比体验.在实际的业务场景测试下,以MySQL和PostgreSQL为例,采用ESSD云盘可获得3-4倍的TPS性能提升. 性能狂飙4…

[阿里云产品公测]结构化数据服务OTS之JavaSDK初体验 作者:阿里云用户蓝色之鹰 一.OTS简单介绍 OTS 是构建在阿里云飞天分布式系统之上的NoSQL数据库服务,提供海量结构化数据的存储和实时访问.NoSQL,泛指非关系型的数据库.随着互联网web2.0网站的兴起,传统的关系数据库在应付web2.0网站,特别是超大规模和高并发的SNS类型的web2.0纯动态网站已经显得力不从心,暴露了很多难以克服的问题,而非关系型的数据库则由于其本身的特点得到了非常迅速的发展.OTS应用程序可以使用阿…

我是在阿里云服务器上进行的python环境搭建,阿里云服务器会自带python但是版本低,所以打算自己安装一个,期间遇到各种问题,而且百度根本不够用无奈上的外网很快解决了.在此分享一下. 一.python环境 首先安装python,我习惯用源码安装的方式,下面是官方下载链接: https://www.python.org/downloads/ 我是用WinSCP软件把下载好的压缩包上传到服务器上然后依次是: 1.解压 tar -xvf Python-.tar.xz 2.在安装之前先创建一个文件夹…

0:调用最新文章,带所在版块 {pc:get sql="SELECT a.title, a.catid, b.catid, b.catname, a.url as turl ,b.url as curl, a.id FROM `v9_news` a, `v9_category` b WHERE a.catid = b.catid ORDER BY `a`.`id` DESC " num="15" cache="300"}{loop $data $…

在阿里云服务器上安装Nginx,php5.3.3环境,使用阿里云的RDS数据库 1,安装wordpress,提示您的PHP似乎没有安装运行WordPress所必需的MySQL扩展 解决方案:移除已经安装的php环境 yum remove php 重新安装: yum install php lighttpd-fastcgi php-cli php-mysql php-gd php-imap php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbst…

web开发中标配:aliyun ECS(阿里云服务器),aliyun RDS(阿里云数据库),aliyun OSS(阿里云对象存储),aliyun Memcache(阿里云缓存数据库). 今天就介绍下OSS和Memcache的使用方法(开通方法就不详细介绍了). 1 OSS使用demo 首先导入oss开发包 <dependency> <groupId>com.aliyun.oss</groupId> <artifactId>aliyun-sdk-oss<…

一:通过python SDK获取云主机的详细信息 1.创建Accessky码(不做展示) 2.通过pip安装SDK模块,这个阿里云帮助里面有,也不做详细展示. 3.详细使用方法看代码 我下面展示的返回的json格式,默认为xml格式. DescribeInstancesRequest 为获取esc详细信息的函数,其他函数可以参考阿里云官方支持,我后续也会更新. #! -*- coding:utf-8 -*- import json from aliyunsdkcore import client…

上周日折腾了一次阿里云服务器,被linux的网络问题折腾的够呛.在这里简单做个问题的概要记录,以备忘.题目中说自己是小白,其实也不完全是小白,自己对一些linux的常用命令还是有所了解的,但是对于linux系统缺乏一个整体的把握和掌控能力,下面简单总结下上周日折腾的一些事情. 1,让ssh登录变的更加安全 (1)最不安全的方法:直接ssh root@ip地址,然后提示你输入密码,登录成功.也就是以root身份以密码验证的方式登录,这种方式恐怕是最不安全的.不安全的原因:密码可以被暴力破解,一旦被…

背景: 公司使用阿里云的云数据库MongoDB.基于安全原因考虑,阿里云MongoDB云数据库目前只支持从阿里云ECS上访问,无法通过公网直接访问,不方便用户在本地开发环境里直接进行测试. 阿里云官方推荐使用rinetd搭建跳板系统,实现公网访问云mongo.使用过程中,发现,python程序在使用过程中如果没有正确释放连接,即使python程序退出后,该mongo连接仍然被rinetd占用.曾出现调用该地址的python程序全部退出后,rinetd仍占用100多个连接,导致云mongo可用连接…

原文:https://yq.aliyun.com/articles/292815?utm_content=m_37457 云计算技术的不断成熟和完善,尤其是IaaS平台的不断发展,使得越来越多的企业和用户青睐于将自己的业务和应用不断的从传统IT设施迁移到云上,在灵活.高效管理应用,快速扩展业务的同时不断地降低基础设施的运维和管理成本.然而,随着业务的不断发展和壮大,对IaaS资源管理成本也会不断增加,可否将基础设施的管理成本进一步降低呢?Cloud Foudry就是其中一个非常完美的解决方案,作…

阿里云防火墙关闭,并且配置规则.不然会导致访问不到服务. 问题一: Caused by: java.net.UnknownHostException: iZuf68tztea6l5ccdz7wemZ: iZuf68tztea6l5ccdz7wemZ: Name or service not known vi /etc/hosts 127.0.0.1 iZuf68tztea6l5ccdz7wemZ iZuf68tztea6l5ccdz7wemZ 自己的主机名 问题二: ERROR Error wh…

1.添加查询条件 {php $sql5 = " pay_type_int = 24"} {pc:content action="lists" catid="11" moreinfo="1" where="$sql5" num="1" order="listorder asc,inputtime asc" page="$page" cache=&qu…

phpcms v9模板制作常用代码集合(个人收藏) 1.截取调用标题长度 {str_cut($r[title],36,'')} 2.格式化时间 调用格式化时间 2011-05-06 11:22:33 {date('Y-m-d H:i:s',$r[inputtime])} 3.多栏目调用&多推荐位调用 调用需求:文章范围为59 60 61三个栏目,并且推送到了27 和28两个推荐位:从第三条开始,连续调用7篇文章. {pc:get sql="SELECT * FROM v9_news WH…

进入PHPCMS v9后台—内容,进入PHPCMS的文章管理列表,要实现在文章标题前显示文章类别,就是可以直接在文章列表里看到类别,不需要点击进入编辑页面才可以看到,如下图: PHPCMS v9在后台文章管理列表添加类别实现方法: 打开 phpcms\modules\content\templates\content_list.tpl.php 文件,找到 <?php if($status==99) { if($r['islink']) { 在前面添加 <span style="col…