前一阶段网站移到阿里云上,发现在线支付出现了问题,也接收不到银行返回的支付信息。
检查了源代码,发现是和支付有关的加密文件位置不对了,以前是放在e盘,现在新的是放在d盘,位置的信息是写死在代码中的。找到了原因,解决起来就方便多了。修改完之后,重新发布,上传到阿里云上,打开网站发现出现无权限的提示,页面打不开。
根据页面的提示关键字,百度下,最终发现是iis的网站应用池的属性设置有问题,具体什么现在倒也记不清了,不过看到之后应该就能知道了,看来好记性真的不如烂笔头,以后再碰到类似的,还是能截个图,在这里记录一下。
据管理员说,网站的上传文件夹下,经常出现一些怪字符的asp文件,阿里云的安全检测也总是提醒,需要及时解决。开始的时候以为的用户的上传权限给的太多,被注册用户攻击。于是web.config中修改了用户的权限,只保留了管理员等一些可控用户的上传权限,然后删除了那些乱七八糟的文件。谁知第二天又发现了asp文件的上传,就知道问题不是出在这了。于是仔细检查了源代码,开始怀疑是ckeditor的问题。对这些开源的上传组件,网络上曝出的漏洞很多,许多没事的家伙就不断的尝试。编辑器常见漏洞,网上已列出的很清楚,仔细对比,竟然发现个低级错误,它的演示程序忘了删了,唉。删除后,问题暂时解决了。