监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 1961|回复: 0
打印 上一主题 下一主题

网站服务器安全设置

[复制链接]
跳转到指定楼层
1
发表于 2011-3-29 09:30:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
用户的虚拟主机被黑,服务器是否不安全?


每个虚拟主机用户都有FSO权限(FSO通俗的解释就是用户对空间拥有可读写和完全控制的权限),就是说,用户被人上传了ASP程序,用FSO想对它做什么都行。例如一些不安全的论坛程序,被上传了可以执行的ASP程序,就可以拿走或删光某个用户的所有内容。


某个被上传木马的虚拟主机,只能对此空间进行操作,是操作不了别人的空间,也控制不了服务器。这点是肯定的。


我们不可能代替用户来设计他自己的网站程序,可以做的就是,在虚拟主机管理中使用锁定上传功能、使用不执行权限的功能,可帮助无技术基础的用户提高他程序的安全性。以下给出具体原因和设置方法:


一、为什么空间会被黑以及被黑后的处理方法


用户的主机被黑(中毒或被修改代码或网站程序直接被人下载等状态)一般有两种可能:

1.FTP的密码太简单,比如您把密码设置成了简单密码比如是123456,china,red等等这样的非常简单的密码或是您的FTP名和密码是一样的,这样的密码会在短期内就被某些恶意的人搜索到,登陆您的FTP,放入木马在您的站点程序中(状态就是所有人访问您站点的时候提示有病毒)或全部删除您的站点。


解决办法是:彻底删除FTP中所有资料,把FTP密码修改的比较复杂,如修改成jkgraweihrfweu这样无规则的密码,同时确保您的FTP名和您的FTP密码不一样,重新上传干净的站点。


2.您的网站程序并不安全或本来存在漏洞或木马程序,比如您的站点可能是随意的从网上下载直接使用的,您也没有检查过有没有漏洞或木马等等,解决方法是:如果您对程序比较了解,请先检查程序代码,如果您对网站程序并不了解我们建议您别随意使用从网上下载的程序,建议您下载某些著名站点的成熟程序比如Discuz论坛、新云、动易等或购买某著名站点的商业程序(需要经常查看官方站点是否有新补丁,否则没及时打上新补丁的程序也会被黑,同时必须修改这类网站程序的默认管理用户名和密码,如果是ACCESS数据库网站程序还必须修改默认数据库路径和数据库名)


解决办法是:彻底删除FTP中所有资料,重新上传干净的站点,确保站点程序无漏洞或无木马。


3.设置写入权限,将您的整个空间锁掉写入功能,然后独立开放某个需要写入的目录的写入权限,如果你需要更新站点时,开放写入权限,更新完成请立即锁定写入功能,这样可以避免被人传入木马或传入木马后也无法删除您的数据。


4.设置执行权限,将您的站点中某个容许上传目录或不需要执行代码的目录关掉执行权限,比如论坛的上传目录和头像目录或图片目录,经常被人利用上传木马,黑了论坛,您应该取消这些容易被利用的目录的代码执行权限,这样就算被人传入木马,也无法执行,如果您开放了某个上传目录请一定取消这个目录的执行权限。



二.总之


在网站正常运行时:空间应该全部关闭写入权限,只保留需要写权限的某几个目录,同时被保留写权限的目录,必须要关闭执行权限 。站点需要更新时:开放所有写入权限,更新完毕后立即关闭写入权限。


原则是:
1.有写入权限的目录,不能有执行权限
2.有执行权限的目录,不能有写入权限
这样最大限度的保证了站点的安全性



实际例子:
比如某个用户空间内是论坛: 论坛是容许上传附件的
安全设置方法
1、经常:查看官方论坛有没有新补丁,必须保证自己论坛程序都是最新的,否则设置的再安全也可能出问题。
2、关闭:整个空间写入权限。
3、开放:文件上传目录、数据库目录、头像目录 写入权限
4、关闭:文件上传目录、数据库目录、头像目录 执行权限
这样可最大限度的保证安全性,即:可以最大限度的保证不被传入木马,即使被传入也不能被执行。



三、技术人员的建议(经验)


在所有被黑的网站中,95%以上都是ASP网站,而PHP网站不到3% ,虽然从这些统计数据上,我们不能说明PHP肯定比ASP安全,但是最少可以说明采用PHP做网站,被黑的机会可能是最少的 ,所以本公司技术人员建议,如果可能的话,请尽量使用PHP做网站(下载PHP写的网站程序)


注意:以上的建议对于程序高手并不适合,因为任何一种语言,只要高手们用心去查漏洞,并且网站运行过程中,日常的管理跟得上,相对来说都是安全的,相反再安全的程序,只要不管理,总是有被黑的一天。


以下为 设置写入权限和执行权限的具体操作步骤:


1、设置执行权限


本功能使指定的目录取消ASP/PHP/ASP.Net执行权限。 


使用您的用户名和密码登陆本站(按照以下步骤点击)
(1)自助管理--主机管理--操作下的管理--[设置执行权限]--输入需要取消执行权限的目录---点取消此目录执行ASP等权限。
(2)被取消执行权限的目录可以点恢复此目录的执行权限重新恢复。
(3)注意事项:被取消执行权限的目录无法执行代码,同时FSO功能也被关闭。


2、设置写入权限


本功能使指定的目录关闭写入权限(只有读的权限无写权限)对安全有重要意义,例如可以将ACCESS放在某个有写入权限的目录(先修改数据库连接文件,设置数据库路径),而将web目录的写入关闭,使ASP木马根本无法上传。在整个网站已锁定的情况下,还可以单独设置指定的目录拥有写入权限。


使用您的用户名和密码登陆本站(按照以下步骤点击)
(1)自助管理--主机管理--操作下的 管理--[设置写入权限]--点关闭网站的写入权限。
在整个网站已锁定的情况下,还可以单独设置指定的目录拥有写入权限。 输入具体需要写入功能的目录名,点打开此目录的写入权限或关闭此目录的写入权限。
(2)被关闭写入权限的站点 可以点 恢复网站的写入权限 r重新恢复。
(3)注意事项:写入权限关闭的站点,子目录和FSO也被同时关闭。
我分享,我成长!系统集成 XTJC.COM
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-26 17:24 , Processed in 0.111600 second(s), 27 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表