启用APACHE认证，防止通达后门

mhybb

现在很多网友都害怕通达的后门，为了解决这个问题，可以采用二种方法：
一，通过VPN连到内网进行操作，操作较复杂，（下次再写）；
二，在通达OA登陆前再设置一道认证。建议所有在外网使用通达OA的用户应用。具体操作方法如下：

还有更简单的方法。直接修改http.conf达到认证的方法。
在http.conf中最下面添加下面的代码，重启apache即可。

复制内容到剪贴板 代码:<Directory />
AuthUserFile d:/myoa/webroot/.htpasswd
AuthName "OA系统登陆"
AuthType Basic
require valid-user
Satisfy any
Order Deny,Allow
Deny from all
Allow from 220.136.65.41 192.168.0
#Allow from 代表指定IP允许访问，192.168.0代表IP段，代表192.168.0.1~254的所有IP地址
</Directory>
TONGDA--OA非官方论坛www.icixi.com
再操作下面的第三步，创建.htpasswd文件
不用修改AllowOverride指令，而且性能会更好。(官方推荐)
只要设置允许IP地址段，OA精灵无法访问的问题也就解决了。

以前的方法：


一，修改d:\myoa\conf\httpd.conf，修改如下
复制内容到剪贴板 代码:<Directory />
    Options FollowSymLinks
    AllowOverride ALL
</Directory>
# 将AllowOverride None 改成 AllowOverride ALL
改成AllowOverride AuthConfig 更好
修改完成后，重启一下APACHE，才生效。

二，创建.htaccess文件
打开记录本，写入以下文件，保存成.htaccess文件(路径:d:/myoa/webroot/)
复制内容到剪贴板 代码:AuthUserFile d:/myoa/webroot/.htpasswd
AuthName "OA系统登陆"
AuthType Basic
<Limit GET>
require valid-user
</Limit>
保存的注意事项：先（设置文件夹选项》查看》隐藏已知文件的扩展名 的勾去掉），在保存类型上选择“所有文件“，也可以在DOS中 用
edit .htaccess 的方法编辑保存。

三，创建.htpasswd文件，用户名及密码保存在这个文件中。附件提供htpasswd.exe文件，用来生成密码文件TONGDA--OA非官方论坛
(路径:d:/myoa/webroot/)
htpasswd -c d:\myoa\webroot\.htpasswd chenTONGDA--OA非官方论坛
(增加用户 htpasswd d:\myoa\webroot\.htpasswd chen)
现在已经启用apache目录访问身份验证，可以测试一下你的OA系统了，是否出现登陆对话框。

附件webroot.rar中是.htaccess及.htpasswd文件，解压到webroot目录即可。其中的用户名是chen密码是888888，用第三步可以生成自己的用户名及密码。
附：如何删除用户，很简单，用文本编辑软件直接删除用户名及密码，如果修改，可以先删除，后增加。文本编辑软件建议用ultraedit32TONGDA--OA非官方论坛


引用:

Directory作用
<Directory />   
Options FollowSymLinks   
AllowOverride None   
</Directory>   TONGDA--OA非官方论坛
#设置/目录的指令。具体地说明：   
   Option：定义在目录内所能执行的操作。
   None：表示只能浏览，
   FollowSymLinks：允许页面连接到别处，
   ExecCGI：允许执行CGI，
   MultiViews：允许看动画或是听音乐之类的操作，
   Indexes：允许服务器返回目录的格式化列表，
   Includes：允许使用SSI。这些设置可以复选。
   All：则可以做任何事，但不包括MultiViews。   
   AllowOverride：加None参数表示任何人都可以浏览该目录下的文件。 TONGDA--OA非官方论坛
   另外的参数有：FileInfo、AuthConfig、Limit。

坛
apache认证和OA精灵的问题
今天经过测试，启用认证后，OA精灵无法使用。TONGDA--OA非官方论坛
解决方法是

那么这个文件夹将不需要密码。同理，别的文件夹不需要密码的话，将这个.htaccess文件复制到该目录中。
允许内网访问，外网指定IP访问。TONGDA--OA非官方论坛
Satisfy any
Order Deny,Allow
Deny from all
Allow from 220.136.65.41 192.168.1

在不需要认证的目录放一个.htaccess文件，内容是
Satisfy any
该目录不会出现认证，直接访问。

具体可见APACHE文档。


另外，将下面的代码保存覆盖为inc\php.php 复制内容到剪贴板 代码CRACKER_LOOK = "保护知识产权，人人有责，请尊重知识产权和他人劳动成果，共创国产软件辉煌！";
if ( $MYOA_PASSWORD == "qiqiphp" )
{
    //phpinfo( );
}
另外inc/reg.php也有个后门，下次提供。

[ 本帖最后由 mhybb 于 2008-5-14 14:29 编辑 ]

mhybb

请覆盖，附件是源代码。TONGDA--OA非官方论坛www.icixi.com

www.icixi.com$filename = "http://127.0.0.1/dns/user_reg_info.php?REG_DESC=".$REG_DESC."&UNIT={$UNIT_NAME}&PORT={$SERVER_PORT}";

kuyi

搂主的是通达2008的去后门还是oa精灵的？

weiq1

从图片上看应该是去通达2008的后门

ukqje

阳光币是什么阳光币是什么

coolbal

通达的安全性是通过加密狗来提高的，但是对于我们这样的情况，无法购买加密狗解决，正在郁闷中，现在解决了，谢谢楼主。

micunpanda

可惜当年6000多元的时候，公司一片混乱买了也没用，现在太平了，又不舍得买了。

samyucn

个人认为还是用VPN更可靠。

quanweizhang

有用吗