- A+
一般网站被入侵,大概分为两个部分,
一是服务器不安全,比如对方获得你的服务器相当权限,进入对网站修改。
二是网站程序不安全,即使服务器非常安全,由于网站程序必须提供对外的访问服务,不得不开发一些权限,而权限设置不严谨,就有可能导致网站程序被利用,非法写入木马后门文件,使网站被入侵。下面 360°网站安全加固 就来给大家分享下常规处理方法
一、服务器基础安全
1、不使用弱密码
不要使用如123456、生日、网站名等容易被猜到的密码。这是一个习惯,不管是你的服务器账号,还是FTP账号,还是网站后台登录账号,都需要避免使用此类密码。
2、不同的账号尽量不要使用相同的密码
避免如果你某个密码被猜到,或被偷看到,而导致你所有的账号被攻破。
3、修改远程登录、FTP等端口为非默认端口
windows的远程登录端口默认为 3389,linux默认为22,FTP默认端口为21,将这些端口修改为10000-65535之间一任意数字,以防止被暴力扫描和猜解,提升安全指数。
4、使用防火墙封堵非必要端口
通过设置防火墙规则,只开放 80,443,远程登录端口、FTP端口,其它的端口一律禁止外部连接,如数据库mysql的3306,防止非法连接,如果一定需要外部连接,也应该通过IP白名单的方式来提升安全指数。当然防火墙不只这些作用,还有限制并发连接数,防盗链等功能,可以同时设置,增强服务器安全可靠性。
5、在windows主机上,使用安全软件设置一下系统权限
比如关闭windows的$IPC共享之类的著名漏洞,非常有必要。在Linux上默认没有这些问题。使用 windows服务器的朋友下载一些服务器安全软件扫描设置一下就可以了,这是一次性工作,只需要在开设服务器里设置一次就可以了。
二、网站程序安全
服务器的基本安全做好后,能保证网站所在的服务器shell不被攻破。但是,我们的安全问题往往出现在网站程序上面。
因为我们需要通过网站程序对网站内容进行管理,就必须要开启写入和执行权限,虽然我们需要通过管理员账号密码登录后台才可以操作,而管理员账号密码也是使用的复杂密码,但是如果程序设计不严谨,入侵者就可以不需要管理员账号,而通过这些有漏洞的文件直接可以对我们的网站操作写入和执行。
大家常用的织梦cms(dedecms)就经常有此类问题,
其它CMS,官方一定会发布类似的安全设置指南,请大家参考设置就可以了。
三、被入侵后,如何查找漏洞文件并封堵?
1、保留现场,原站打包下载回来
把包含木马文件的网站程序整体压缩打包,下载回来,暂时不要删除任何文件。此时可以关闭,或使用备用服务器。
2、使用后门扫描程序扫描,找到新增加的木马文件,如安全狗,D盾等。
找到新增加、新修改了哪些文件。如果你对你的网站非常熟悉,凭经验也是可以看出哪些文件是非正常文件的。
3、根据新增加/修改的木马文件的修改日期,判断入侵具体时间
此时,通过你的远程连接或FTP连接到你的网站服务器,查看这些问题文件的修改或创建日期。只需要找到这个日期即可。
4、查看入侵时间的网站访问日志,定位入口文件
上面我们已经知道了入侵的确切时间,下面我们将网站的访问日志下载回来,用editplus等文本软件打开,搜索相应的时间,或搜索木马文件名,看看是哪个IP在访问,同时查看这个IP在这段时间内,访问过哪些文件,统统找出来。除了新增加的文件,还访问了哪些网站已有的文件,这些文件就可能是包含漏洞的位置。
5、对入口文件或目录做处理。
找到问题位置就好办了,最简单的方法就是删除入口文件。如果这个文件需要使用不能删除,那么就可以设置严格的权限,以防下次再被利用。封堵漏洞常用的方法:设置更严格的读写权限、对程序中的输入参数如$_GET、$_POST等进行容易被操作注入攻击的参数,进行严格过滤(现在一些设计不错的程序已经默认能过滤)。
四、恢复网站到正常状态
方法一、通过扫描木马后门文件,删除的方法恢复
这需要对网站程序文件全部扫描。此方法可能不能完全找到木马文件,如有些后门可能会通过加密、变体等方法,无法通过常规的扫描发现。
- 微信 wzgj360
- 联系免费答疑
- QQ 613049615
- 联系免费答疑