新手站長(zhǎng)網(wǎng)站安全須知

網(wǎng)站安全是指出于防止網(wǎng)站受到外來(lái)電腦入侵者對(duì)其網(wǎng)站進(jìn)行掛馬，篡改網(wǎng)頁(yè)等行為而做出一系列的防御工作。由于一個(gè)網(wǎng)站設(shè)計(jì)者更多地考慮滿足用戶(hù)應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)。

很少考慮網(wǎng)站應(yīng)用開(kāi)發(fā)過(guò)程中所存在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見(jiàn)，大多數(shù)網(wǎng)站設(shè)計(jì)開(kāi)發(fā)者、網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少;在正常使用過(guò)程中，即便存在安全漏洞，正常的使用者并不會(huì)察覺(jué)。

攻擊手段主要是利用Web服務(wù)器的漏洞攻擊和網(wǎng)頁(yè)漏洞攻擊。

對(duì)于新手站長(zhǎng)來(lái)說(shuō)尤其要重視這個(gè)問(wèn)題，對(duì)于這個(gè)問(wèn)題本人在建設(shè)瘋狂比分網(wǎng)時(shí)，由于不重視為些付出了慘重的代價(jià)，希望新手們能盡量避免出現(xiàn)這種情況。

一、網(wǎng)站的潛在風(fēng)險(xiǎn)主要有以下幾種

     網(wǎng)站因需要被公眾訪問(wèn)而暴露于因特網(wǎng)上，容易成為黑客的攻擊目標(biāo)。其中，黑客和不法分子對(duì)網(wǎng)站的網(wǎng)頁(yè)(主頁(yè))內(nèi)容的篡改是時(shí)常發(fā)生的，而這類(lèi)事件對(duì)公眾產(chǎn)生的負(fù)面影響又是非常嚴(yán)重的，即：形象受損、信息傳達(dá)失準(zhǔn)，甚至可能引發(fā)信息泄密等安全事件。網(wǎng)頁(yè)篡改者利用操作系統(tǒng)的漏洞和管理的缺陷進(jìn)行攻擊。

目前，網(wǎng)站常因以下安全漏洞及配置問(wèn)題，而引發(fā)網(wǎng)頁(yè)信息被篡改、入侵等安全事件：

1、網(wǎng)站數(shù)據(jù)庫(kù)賬號(hào)管理不規(guī)范，如：使用默認(rèn)管理帳號(hào)(admin，root，manager等)、弱口令等。

2、網(wǎng)站程序設(shè)計(jì)存在的安全問(wèn)題，網(wǎng)站程序設(shè)計(jì)者在編寫(xiě)時(shí)，對(duì)相關(guān)的安全問(wèn)題沒(méi)有做適當(dāng)?shù)奶幚?，存在安全隱患，如SQL注入，上傳漏洞，腳本跨站執(zhí)行等。

 3、WEB服務(wù)器配置不當(dāng)，系統(tǒng)本身安全策略設(shè)置存在缺陷，可導(dǎo)致網(wǎng)站被入侵的問(wèn)題。

4、WEB應(yīng)用服務(wù)權(quán)限設(shè)置導(dǎo)致系統(tǒng)被入侵的問(wèn)題。

5、WEB服務(wù)器系統(tǒng)和應(yīng)用服務(wù)的補(bǔ)丁未升級(jí)導(dǎo)致網(wǎng)站可能被入侵的安全問(wèn)題等。

二、網(wǎng)站安全防護(hù)解決方案

    根據(jù)目前網(wǎng)站可能存在的安全隱患及風(fēng)險(xiǎn)，提出如下幾個(gè)安全防護(hù)解決方案：

1、免費(fèi)DDOS解決方案

通過(guò)優(yōu)化Windows 2003或者Windows 2008系統(tǒng)的注冊(cè)表，可有效對(duì)抗每秒約1萬(wàn)個(gè)左右的SYN攻擊，方法是把以下文本內(nèi)容存盤(pán)為antiddos.reg然后導(dǎo)入注冊(cè)表并重新啟動(dòng)即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"SynAttackProtect"=dword:00000002

"TcpMaxHalfOpen"=dword:000001f4

"TcpMaxHalfOpenRetried"=dword:00000190

    此方案的優(yōu)點(diǎn)是：采用系統(tǒng)自身的能力來(lái)解決問(wèn)題，而無(wú)需任何花費(fèi)；缺點(diǎn)是：只能抵御每秒少于10000的SYN攻擊，并且無(wú)法解決TCP多連接攻擊。

2、網(wǎng)站安全檢測(cè)

1)、進(jìn)行網(wǎng)站安全漏洞掃描

　　由于現(xiàn)在很多網(wǎng)站都存在sql注入漏洞，上傳漏洞等等漏洞，而黑客通過(guò)就可以通過(guò)網(wǎng)站這些漏洞，進(jìn)行SQL注入進(jìn)行攻擊，通過(guò)上傳漏洞進(jìn)行木馬上傳等等。所以網(wǎng)站安全檢測(cè)很重要一步就是網(wǎng)站的漏洞檢測(cè)。

　　掃描完后就可以查看網(wǎng)站所存在的漏洞和存在的網(wǎng)頁(yè)，可以根據(jù)報(bào)告里面的建議進(jìn)行漏洞修補(bǔ)，但請(qǐng)注意，在修改網(wǎng)頁(yè)代碼之前要先做好備份工作。

　　說(shuō)明：對(duì)于發(fā)現(xiàn)的網(wǎng)站漏洞要及時(shí)修補(bǔ)。

2)、網(wǎng)站木馬的檢測(cè)

　　網(wǎng)站被掛馬是非常普遍的事情，同時(shí)也是最頭疼的一件事。所以網(wǎng)站安全檢測(cè)中，網(wǎng)站是否被掛馬是很重要的一個(gè)指標(biāo)。

　　其實(shí)最簡(jiǎn)單的檢測(cè)網(wǎng)站是否有掛馬的行為，很簡(jiǎn)單，直接開(kāi)個(gè)殺毒軟件掃描，看看有沒(méi)有掛馬提示就可以啦。當(dāng)然還有直接去這些殺毒軟件建立的網(wǎng)站安全中心，直接提交URL進(jìn)行木馬檢測(cè)。

　　說(shuō)明：網(wǎng)站被掛馬是嚴(yán)重影響網(wǎng)站的信譽(yù)的，如有被掛馬，請(qǐng)速度暫時(shí)關(guān)閉網(wǎng)站，及時(shí)清理木馬或木馬鏈接的頁(yè)面地址。

3)、網(wǎng)站環(huán)境的檢測(cè)

　　網(wǎng)站環(huán)境包括網(wǎng)站所在服務(wù)器的安全環(huán)境和維護(hù)網(wǎng)站者的工作環(huán)境的安全

　　很多黑客入侵網(wǎng)站是由于攻擊服務(wù)器，竊取用戶(hù)資料。所以在選擇服務(wù)器時(shí)要選擇一個(gè)有保證的服務(wù)商，而且穩(wěn)定服務(wù)器對(duì)網(wǎng)站的優(yōu)化和seo也很有幫助的。

　　而站長(zhǎng)或維護(hù)著所處的環(huán)境也非常重要，如果本身系統(tǒng)就存在木馬，那么盜取帳號(hào)就變得很簡(jiǎn)單了。故要保持系統(tǒng)的安全，可以裝瑞星，卡巴這些殺毒軟件，還有就是帳號(hào)和密碼要設(shè)置復(fù)雜一些。

4)、其它檢測(cè)

　　黑鏈檢測(cè)，由于現(xiàn)在黑鏈的利潤(rùn)很高，故現(xiàn)在更多黑客入侵網(wǎng)站目的就是為掛鏈接，而被掛黑鏈會(huì)嚴(yán)重影響SEO的優(yōu)化。

　　具體檢測(cè)方法：

　　可以利用站長(zhǎng)工具網(wǎng)里面工具中的“死鏈接就愛(ài)內(nèi)測(cè)/全站PR查詢(xún)”的選項(xiàng)，

　　將檢測(cè)網(wǎng)站分析欄，選擇“站外鏈接”，按“顯示鏈接”按鈕，就會(huì)列出一堆站外鏈接，在里面可以查看有那些鏈接是PR比較低而且又比較陌生的鏈接就可能是黑鏈，將黑鏈刪除就可以。

5)、FTP密碼盡量設(shè)置得復(fù)雜點(diǎn)，密碼里面最好包含大寫(xiě)和小寫(xiě)的英文字母和數(shù)字以及特殊字符（如c7b64￥8f63ce687&），這樣黑客用弱口令掃描工具就掃描不到你的FTP用戶(hù)名和密碼了。

6)、網(wǎng)站后臺(tái)不要用默認(rèn)路徑和管理員賬號(hào)及密碼，現(xiàn)在網(wǎng)絡(luò)上有很多通過(guò)默認(rèn)路徑猜解后臺(tái)帳號(hào)密碼的工具，如果不修改默認(rèn)路徑和管理員賬號(hào)和密碼，一些懷有不良企圖的人很容易猜解到你網(wǎng)站后臺(tái)賬號(hào)和密碼進(jìn)入你網(wǎng)站的后臺(tái)進(jìn)行非法操作，也就給你網(wǎng)站安全留下了一個(gè)隱患，所有務(wù)必及時(shí)修改網(wǎng)站后臺(tái)默認(rèn)路徑及管理員賬號(hào)和密碼。

7)、更改網(wǎng)站數(shù)據(jù)庫(kù)名，文件名也可以多幾個(gè)特殊符號(hào)。

8)、網(wǎng)站的注入和跨站漏洞也是黑客經(jīng)常利用的漏洞。檢查一下網(wǎng)站有沒(méi)有注入漏洞或跨站漏洞，如果有的話就馬上打上防注入或防跨站補(bǔ)丁，使黑客無(wú)可乘之機(jī)。

9)、設(shè)置好網(wǎng)站各個(gè)文件夾的讀寫(xiě)權(quán)限。

簡(jiǎn)化一些不必要的程序，對(duì)一些不必要的功能，如上傳等做嚴(yán)格的限制，用工具檢查自己網(wǎng)站方面是否存在注入，暴庫(kù)漏洞等。

10)、默認(rèn)的數(shù)據(jù)庫(kù)路徑。

現(xiàn)在很多黑客很喜歡做的一件事情就是從默認(rèn)的數(shù)據(jù)庫(kù)地址下數(shù)據(jù)庫(kù)來(lái)得到網(wǎng)站管理員的帳號(hào)密碼，尤其是針對(duì)論壇。知道了帳號(hào)密碼就等于拿到了整個(gè)論壇的管理權(quán)限。其實(shí)現(xiàn)在很多站長(zhǎng)都有一個(gè)誤解，以為把數(shù)據(jù)庫(kù)后綴改成ASP就行了，但是知道了路徑的情況下用下載軟件把保存文件后綴改成MDB也是可以下載的。

　　防護(hù)方法：

　　修改默認(rèn)的路徑，越復(fù)雜越好，對(duì)數(shù)據(jù)庫(kù)進(jìn)行防下載設(shè)置。

11)、默認(rèn)后臺(tái)。

　　現(xiàn)在很多access數(shù)據(jù)庫(kù)注入漏洞都是能暴出你的后臺(tái)帳號(hào)和密碼的。黑客用拿到的帳號(hào)密碼輸入默認(rèn)后臺(tái)地址就很容易就拿到你的網(wǎng)站權(quán)限了，從入侵到拿到權(quán)限不要3分鐘。

　　防護(hù)辦法：修改默認(rèn)后臺(tái)!就算現(xiàn)在人家利用最新的漏洞暴出了你的帳號(hào)密碼但是沒(méi)有后臺(tái)，他拿了也只能干瞪眼。

12)、弱口令。

　　弱口令是指你的帳號(hào)密碼重復(fù)或是有很明顯的規(guī)律，如QQ號(hào)碼、生日、電話號(hào)碼、默認(rèn)的系統(tǒng)自帶的原始密碼等等!現(xiàn)在我們做網(wǎng)站一般都會(huì)在站上留一個(gè)聯(lián)系方式，如電話或qq等，方便廣告主聯(lián)系以及別人對(duì)你網(wǎng)站提意見(jiàn)，但是這些都會(huì)被黑客所利用到。黑客跟你搭話后，從你的談話種獲取有用的資料。比如身份證號(hào)碼、支付寶密碼、銀行密碼、郵箱密碼、qq密碼等等。還有設(shè)置的后臺(tái)管理密碼一定要復(fù)雜，現(xiàn)在的密碼很多都是用MD5或是別的加密的，如果別人在用別的方法得到了你的數(shù)據(jù)庫(kù)，但是你的密碼復(fù)雜的話對(duì)方也沒(méi)辦法解密的。

　　防護(hù)辦法：設(shè)置一些自己能記住但是沒(méi)什么很多規(guī)律的密碼，對(duì)重要密碼要特別設(shè)置，不要圖方便所有的網(wǎng)上帳號(hào)密碼都一樣，這樣一個(gè)密碼的泄露就有可能導(dǎo)致整個(gè)網(wǎng)上信息的泄露。設(shè)置復(fù)雜的密碼，最好是在9位以上，英文字母和數(shù)字搭配使用。

13)、IDC問(wèn)題。

　　現(xiàn)在個(gè)人站長(zhǎng)的安全意識(shí)越來(lái)越高但是自己的網(wǎng)站安全防護(hù)措施做的很到位為什么還是會(huì)被黑呢?這里就涉及到了IDC管理員的問(wèn)題。很多站長(zhǎng)朋友貪圖小便宜認(rèn)為小的空間商空間速度不錯(cuò)，價(jià)格便宜所以都選擇了小空間商。但是你要知道也許正是你貪圖小便宜的心理會(huì)讓你的網(wǎng)站和心血全是都付之東流。現(xiàn)在很多黑客對(duì)定點(diǎn)入侵網(wǎng)站都選擇了旁注的方法，也就是說(shuō)比如他想入侵你的網(wǎng)站，但是你的網(wǎng)站配置相當(dāng)安全的情況下，那黑客就會(huì)轉(zhuǎn)移目標(biāo)去入侵和你同一服務(wù)器的網(wǎng)站，然后通過(guò)別的網(wǎng)站拿下的后門(mén)進(jìn)行目錄的跳轉(zhuǎn)或是提升權(quán)限來(lái)達(dá)到控制整個(gè)服務(wù)器的的目的。那時(shí)候你的安全想對(duì)服務(wù)器權(quán)限來(lái)說(shuō)沒(méi)什么可言了。

　　服務(wù)器管理員的問(wèn)題還有服務(wù)器的軟件配置問(wèn)題，安裝了第三方軟件，如：Serv-U，F(xiàn)TPflash，VPN，pcanywhere等等。安裝了這些軟件的服務(wù)器很容易被提升權(quán)限，從而達(dá)到得到服務(wù)器的權(quán)限的目的。還有就是沒(méi)安裝防ARP軟件。因?yàn)闄C(jī)房的一臺(tái)服務(wù)器的淪陷導(dǎo)致整個(gè)機(jī)房的淪陷，被別人ARP掛馬或是arp宿探等等，這樣我們的網(wǎng)站就會(huì)被插入惡意代碼，F(xiàn)TP密碼就會(huì)被黑客所截取。

14)、服務(wù)器的硬件配置問(wèn)題。

當(dāng)你的網(wǎng)站在網(wǎng)上取得了一定的成績(jī)的時(shí)候，別人可能就會(huì)跟你競(jìng)爭(zhēng)或眼紅，于是為了跟你爭(zhēng)排名。最常做的就是對(duì)你的網(wǎng)站進(jìn)行ddos，也就是拒絕服務(wù)攻擊。如果你的網(wǎng)站配置不高，沒(méi)有硬件防火墻，那別人用幾只或是幾十只肉雞就可以輕易把你的網(wǎng)站D死，讓網(wǎng)站長(zhǎng)時(shí)間的無(wú)法訪問(wèn)，從而導(dǎo)致搜索引擎對(duì)你進(jìn)行降權(quán)或是K站。很多大型的網(wǎng)站曾經(jīng)都遭到過(guò)大型的拒絕服務(wù)攻擊。

　　防護(hù)辦法：找一個(gè)好的IDC運(yùn)營(yíng)商，問(wèn)清楚他們的服務(wù)器配置，不要貪圖小便宜，要知道一分錢(qián)一分貨。

15)、個(gè)人電腦安全問(wèn)題。

如果個(gè)人電腦的安全沒(méi)做好，種了遠(yuǎn)程控制木馬的話那說(shuō)什么都沒(méi)用了。對(duì)方可以很清楚的記錄你的所有帳號(hào)密碼，對(duì)他而言你在網(wǎng)上沒(méi)有任何秘密可言。

以上為我個(gè)人的一些經(jīng)驗(yàn)之談，希望能對(duì)大家有所幫助，不足之處敬請(qǐng)諒解。