- A+
360°网站安全加固 今天就和大家科普一下 ,VPS服务器有没有漏洞?网站有没有漏洞?被攻击了我该怎么办
其实不存在没漏洞的系统,漏洞就在那,黑客只是发现了他而已。就跟万有引力一样,不能说牛顿没发现就不存在万有引力。软件升级带来了修补旧漏洞的利好消息,同时也带来了新的未知漏洞的风险
备注:你可以尝试用thinkphp漏洞、nginx漏洞、php漏洞、redis漏洞、dedecms漏洞、discuz漏洞等等为关键词进行搜索,漏洞有几个生命周期:潜伏期、发现期、利用期、公开期、修复期、die。有些组织手握很多未公开的漏洞信息,没公开罢了
若是开源软件,会存在找漏洞和修漏洞的人之间的博弈过程(N对N)。但若是闭源软件,则是找漏洞的人和官方开发人员之间的博弈过程(N对1),官方发现漏洞会比较晚。闭源软件漏洞的生命周期会长于开源软件,所以我更倾向于使用还在维护中的开源软件
一:介绍
攻击和防御的界限很模糊,攻击端必须知道防御端是什么样才能攻其不备,防御端必须知道攻击端有什么武器才能构建防御,而这两者要了解的技术是一样的。就跟刀具一样,在不同人的手里有不一样的属性。但现实是,绝大部分程序员对于这方面的知识储备远远低于专业攻防人员,所以你就懂了
漏洞的发生无非就是用户端传来的数据检查不严格,权限检查不严格,导致错误执行了黑客有意构造的非法代码
我们暂且不提系统级别或者软件级别漏洞,即使有也只能等官方发现并修复。对于未知的网站源码级别的漏洞,我们站长能做的只能在防火墙、权限配置方面做文章,下面教大家简单设置:
二:防火墙配置
防火墙可以对网站传输的非法数据进行识别,可以抵御常见的SQL注入、一句话木马、上传漏洞、cookies漏洞等等。如果大家不会配置部署 防火墙,可以联系 360°网站安全加固
三、权限配置
上面的配置已经可以抵御九成半的漏洞攻击,包括几乎所有的脚本批量普通漏洞扫描。因为这个防御的只是规则性漏洞,对于变种或伪装性极强的无法防御
也就是说仍然会有半成的漏洞攻击被放进来了,这时候就需要进行权限配置了,原理就是,即使黑客通过网站漏洞上传了木马,若是没有关键执行权限,仍然什么也干不了
备注:很多人为图方便将网站所有目录设置成777,即所有用户有全部权限,这是非常危险的。还好宝塔已经将网站目录所属人设置为www用户,权限为755,但这仍然不够
下面的操作步骤顺序之间有依赖性,必须严格按照下面的顺序进行(以下全部使用宝塔页面操作。若使用chmod命令行操作,必须加-R参数):
1、对于网站公开目录使用555权限,例如public目录。这个操作也会同时应用到所有子目录和子文件
2、对于网站上传目录使用755权限,例如upload文件夹
3、对于网站上传目录中的所有文件使用644权限,例如通过网站上传的图片。因为图片随时都会上传,所以要时时进行设置,需要用到宝塔的计划任务,设置以每分钟运行的任务chmod 644 /www/wwwroot/xxx.com/public/upload/*/*。把xxx.com换成你的网站目录,这里的*代表所有文件,因为有的网站程序上传图片时并不是上传到单独一个文件夹,而是以每月命名的文件夹,所以倒数第二个*代表upload里所有的文件夹
4、还需要使用Nginx、Apache禁止上传目录的php执行权限
权限操作说明:
555:所有用户都没有写入权限
755:只有文件所属用户有写入权限
644:所有用户都没有执行权限
四:总结
1、以上方法只能防御网站源码漏洞,如果被系统漏洞或者软件级别漏洞攻击,你不是孤单的一个人,这将是全球性的灾难漏洞,耐心等待官方发布补丁包下载安装即可
2、这里有个简单判断网站是否被上传木马的方法:,一般我们上传完网站源码后不会再修改网站内容,如果发现某个文件夹修改时间和同目录文件夹明显不一样(缓存目录除外),就要小心了
3、所有网站使用同一个密码,并且几年都不换,这个会导致公开的社工库中已有你的账户和密码
4、机器使用默认的ssh的22端口,同时账号为root,并且密码为常用密码或弱密码,会导致你的机器被用来挖矿或用作肉鸡
5、使用默认网站后台登录目录,并且密码为常用密码或弱密码,后台会被人爆破密码。验证码只能防人,不能防机器
6、做站使用windows系统,由于没有linux天生完善的文件权限控制机制,被攻击成功概率远远高于linux系统
- 微信 wzgj360
- 联系免费答疑
- QQ 613049615
- 联系免费答疑