不少个人和企业想通过网络上打造电商或者金融借贷平台,这类网站做好的话,可以说是既省时又省力,大把大把赚money。网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目的。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这种事件对公众产生的负面影响又是很紧急的,即:形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。网页篡改者借助操作系统的漏洞和管理的缺点进行攻击。
现在,门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1、网站数据库账号管理不规范,如:用默认管理帐号(admin,root,manager等)、弱口令等。
2、门户网站程序设计存在的安全问题,网站程序设计者在撰写时,对有关的安全问题没做适合的处置,存在安全隐患,如SQL注入,上传漏洞,脚本跨站实行等。
3、WEB服务器配置不当,系统本身安全方案设置存在缺点,可致使门户网站被入侵的问题。
4、WEB应用服务权限设置致使系统被入侵的问题。
5、WEB服务器系统和应用服务的补丁未升级致使门户网站可能被入侵的安全问题等。
那样该怎么办呢
以下是解决方法
据现在门户网站可能存在的安全隐患及风险,给门户网站提出如下安全防护解决方法:
1、免费DDOS解决方法
通过优化Windows 2003或者Windows 2008系统的注册表,可有效对抗每秒约1万个左右的SYN攻击,办法是把以下文本内容存盘为antiddos.reg然后导入注册表并重新启动即可。
Windows Registry Editor Version 5.00
[HKEY|LOCAL|MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
此策略的优点是:使用系统自己的能力来解决问题,而不需要任何花费;缺点是:只能抵御每秒少于10000的SYN攻击,并且没办法解决TCP多连接攻击。
2、网站安全测试
1)、进行网站安全漏洞扫描
因为目前不少网站都存在sql注入漏洞,上传漏洞等等漏洞,而黑客通过就能通过网站这类漏洞,进行SQL注入进行攻击,通过上传漏洞进行木立刻传等等。所以网站安全测试非常重要一步就是网站的漏洞测试。
扫描完后就能查询网站所存在的漏洞和存在的网页,可以参考报告里面的建议进行漏洞修补,但请注意,在修改网页代码之前要先做好备份工作。
说明:对于发现的网站漏洞要准时修补。
2)、网站木马的测试
网站被挂马是很常见的事情,同时也是最头疼的一件事。所以网站安全测试中,网站是不是被挂马是非常重要的一个指标。
其实最简单的测试网站是不是有挂马的行为,非常简单,直接开个杀毒软件扫描,看看有没挂马提示就能啦。当然还有直接去这类杀毒软件打造的网站安全中心,直接提交URL进行木马测试。
说明:网站被挂马是严重干扰网站的信誉的,如有被挂马,请速度暂时关闭网站,准时清理木马或木马链接的页面地址。
3)、网站环境的测试
网站环境包含网站所在服务器的安全环境和维护网站者的工作环境的安全
不少黑客入侵网站是因为攻击服务器,窃取用户资料。所以在选择服务器时要选择一个有保障的服务商,而且稳定服务器对网站SEO和网站优化也非常有帮助的。
而站长或维护着所处的环境也尤为重要,假如本身系统就存在木马,那样盗取帐号就变得非常简单了。故要维持系统的安全,可以装瑞星,卡巴这类杀毒软件,还有就是帐号和密码要设置复杂一些。
4)、其它测试
黑链测试,因为目前黑链的价值非常高,故目前更多黑客入侵网站目的就是为挂链接,而被挂黑链会严重干扰网站优化的优化。
具体测试办法:
可以借助站长工具网里面工具中的死链接就爱内测/全站PR查看的选项,
将测试网站剖析栏,选择站外部链接接,按显示链接按钮,就会列出一堆站外部链接接,在里面可以查询有那些链接是PR比较低而且又比较陌生的链接就可能是黑链,将黑链删除就能。
5)、远程连接测试
打开宽带连接,进行宽带的测试和IP地址的测试。以预防恶意的窃取用户资料。
6)、FTP密码尽可能设置得复杂点,密码里面最好包括大写和小写的英文字母和数字与特殊字符(如c7b64¥8f63ce687&),如此黑客用弱口令扫描工具就扫描不到你的FTP用户名和密码了。
7)、网站后台不要用默认路径和管理员账号及密码,目前互联网上有不少通过默认路径猜解后台帐号密码的工具,假如不修改默认路径和管理员账号和密码,一些怀有不好的企图的人比较容易猜解到你网站后台账号和密码进入你网站的后台进行非法操作,也就给你网站安全留下了一个隐患,所有务必准时修改网站后台默认路径及管理员账号和密码。
8)、更改网站数据库名,文件名也可以多几个特殊符号。
9)、网站的注入和跨站漏洞也是黑客常常借助的漏洞。检查一下网站有没注入漏洞或跨站漏洞,假如有些话就立刻打上防注入或防跨站补丁,使黑客无可乘之机。
10)、防患于未然,写入一些防挂马代码,让框架代码等挂马无效。
11)、最好关闭网站的FSO权限。
12)、设置好网站每个文件夹的读写权限。
简化一些非必须的程序,对一些非必须的功能,如上传等做严格的限制,用工具检查自己网站方面是不是存在注入,暴库漏洞等。
13)、默认的数据库路径。
目前不少黑客非常喜欢做的一件事情就是从默认的数据库地址下数据库来得到网站管理员的帐号密码,特别是针对平台。了解了帐号密码就等于拿到了整个平台的管理权限。其达成在不少站长都有一个误解,以为把数据库后缀改成ASP就好了,但了解了路径的状况下用下载软件把保存文件后缀改成MDB也是可以下载的。
防护办法:
修改默认的路径,越复杂越好,对数据库进行防下载设置。
14)、默认后台。
目前不少access数据库注入漏洞都是能暴出你的后台帐号和密码的。黑客用拿到的帐号密码输入默认后台地址就比较容易就拿到你的网站权限了,从入侵到拿到权限不要3分钟。
防护方法:修改默认后台!即使目前人家借助最新的漏洞暴出了你的帐号密码但没后台,他拿了也只能干瞪眼。
15)、弱口令。
弱口令是指你的帐号密码重复或是有非常明显的规律,如QQ号码、过生日、电话号码、默认的系统自带的原始密码等等!目前大家网站建设一般都会在站上留一个联系方法,如电话或qq等,便捷广告主联系与其他人对你网站提建议,但这类都会被黑客所借助到。黑客跟你搭话后,从你的谈话种获得有用的资料。譬如身份证号码、支付宝密码、银行密码、邮箱密码、qq密码等等。还有设置的后台管理密码必须要复杂,目前的密码不少都是用MD5或是别的加密的,假如其他人在用别的办法得到了你的数据库,但你的密码复杂的话他们也无法解密的。
防护方法:设置一些自己能记住但没什么不少规律的密码,对要紧密码要特别设置,不要图便捷所有些网上帐号密码都一样,如此一个密码的泄露就大概致使整个网上信息的泄露。设置复杂的密码,最好是在9位以上,英文字母和数字搭配用。
16)、IDC问题。
目前个人站长的安全意识愈加高但我们的网站安全防护手段做的非常到位为何还是会被黑呢?这里就涉及到了IDC管理员的问题。不少站长朋友贪图小实惠觉得小的空间商空间速度很好,价格实惠所以都选择了小空间商。但你要了解或许正是你贪图小实惠的心理会叫你的网站和心血全是都付之东流。目前不少黑客对定点入侵网站都选择了旁注的办法,也就是说譬如他想入侵你的网站,但你的网站配置相当安全的状况下,那黑客就会转移目的去入侵和你同一服务器的网站,然后通过别的网站拿下的后门进行目录的跳转或是提高权限来达到控制整个服务器的的目的。那时候你的安全想对服务器权限来讲没什么可言了。
服务器管理员的问题还有服务器的软件配置问题,安装了第三方软件,如:Serv|U,FTPflash,VPN,pcanywhere等等。安装了这类软件的服务器比较容易被提高权限,从而达到得到服务器的权限的目的。还有就是没安装防ARP软件。由于机房的一台服务器的沦陷致使整个机房的沦陷,被其他人ARP挂马或是arp宿探等等,如此大家的网站就会被插入恶意代码,FTP密码就会被黑客所截取。
17)、服务器的硬件配置问题。
当你的网站在网上获得了肯定的成绩的时候,其他人可能就会跟你角逐或眼红,于是为了跟你争排名。最常做的就是对你的网站进行ddos,也就是拒绝服务攻击。假如你的网站配置不高,没硬件防火墙,那其他人用几只或是几十只肉鸡就能随便把你的网站D死,让网站长期的没办法访问,从而致使搜索引擎对你进行降权或是K站。不少大型的网站过去都遭到过大型的拒绝服务攻击。
防护方法:找一个好的IDC运营商,问了解他们的服务器配置,不要贪图小实惠,要了解一分钱一分货。
18)、个人电脑安全问题。
假如个人电脑的安全没做好,种了远程控制木马的话那怎么说都没用了。他们可以非常了解的记录你的所有帐号密码,对他而言你在网上没任何秘密可言。
