网站的安全维护
——站长网管需知
一、工作范围与职责:
(1)、什么是安全维护工作?
1、修复网站本身存在隐患。
2、负责网站的后门清理及查杀毒,使网站技术架构趋于合理。
3、维护服务器,交换机,路由器等前端设备。
4、管理共享资源(IP地址、域名、密码等)。
5、负责后台数据库维护。
6、日常检修及维护。
7、及时更新系统补丁、修补系统漏洞……
(2)、路由器、IP管理等硬件部分和服务器配置、网站管理应该是多个人分开来做的。个人站长才会出现一个人全部管的情况。如果是一个人全管的话,那么安全工作就不只在网站上了,服务器安全/FTP安全等更重要。
二、系统安全(网站系统的安全问题)
(1)、网站系统安全包括那些?
1、数据库安全设置。
2、注册字符过滤安全设置。
3、IIS安全设置。
4、网站上传功能的安全设置。
5、插件的安全问题。
6、整合的安全问题。
7、及时更新系统补丁、修补系统漏洞……
(2)、网站数据库安全设置
1、ACCESS版系统数据库安全。
2、SQL版系统数据库安全。
(3)、ACCESS数据库安全设置
1、修改数据库名。
2、修改数据库后缀名。如改成database.inc、database.dwg、database.asp......
3、在前缀名称中加特殊字符。如把数据库database.mdb改成#data#base.mdb。
4、将数据库连接文件放到其他虚拟目录下。
5、将Access数据库加密。
(4)、网站系统安全包括那些?
1、数据库安全设置。
2、注册字符过滤安全设置。
3、IIS安全设置。
4、网站上传功能的安全设置。
5、插件的安全问题。
6、整合的安全问题。
7、及时更新系统补丁、修补系统漏洞……
三、常见的网站安全隐患
(1)、服务器的常见隐患?
1、服务器安全注意要点。
2、防DDOS攻击。
3、改数据库名称注意点。
4、服务器的FSO读写安全。
5、及时更新系统补丁。
(2)、服务器安全注意要点
1、打补丁、加密码、自动升级。
2、服务器系统上安装了SQL,一定要屏蔽了3389端口。看起来SQL和3389好像没有必然联系啊,SQL的话必须给sa用户设置强密码;使用远程管理最好更换3389端口。不使用远程管理务必关闭3389端口。
3、80为Web网站服务;21为FTP服务;25为E-mail SMTP服务;110为Email POP3服务。。
4、创建IP安全策略,如关闭ICMP,使对方无法PING到服务器真实地址。
(3)、防御DDOS攻击简单方法
1、采用最新系统,打好补丁。
2、限制在防火墙外与网络文件共享。
3、在防火墙上运行端口映射程序或端口扫描程序。
4、利用DDoS设备提供商的设备。
(4)更改网站数据库名称注意点
不要把数据库改为asp或asa,直接可以用网快等工具直接下载,入侵者可以利用asp/asa为后缀的数据
库直接得到webshell,如:< %execute request("b")%>的利用。
思路如下:大家都知道<%%>为asp文件的标志符,也就是说一个asp文件只会去执行<% %>之间的代码,access+asp的web系统的所有数据都是存放在数据库文件里(mdb文件),由于管理者把mdb文件改为了asp文件,如果我们提交的数据里包含有<%%>,那当我们访问这个asp数据库的时候就会去执行<%%>之间的代码。这样导致我们只提交恶意代码给数据库,那么asp后缀的数据库就是我们的webshell了。第一步:随便找个目标,首先我们暴库,看是不是asp后缀的数据库。第二步:这样我们可以直接用网际快车等工具直接下载数据库(这里我们不讨论)。我们回到主页看到有提供“网友评论”功能。我们注册个用户,发一条评论:<%execute request("b")%>。这样我们就把asp代码:<%execute request("b")%>写入了数据库,那么数据库:就是我们的webshell。用了两次提交。而对于没有改后缀的,也就是mdb文件,这样我们可以先直接下载下来得到后台密码,进了后台,可以利用数据库备用改后缀为asp。
(5)、服务器FSO读写安全
利用写文件直接上传ASP木马,如:
url=request.Form("url")
body=request.Form("body")
whichfile=server.mappath(""&url&"")
Set fso = CreateObject("Scripting.FileSystemObject")
Set MyFile = fso.CreateTextFile(whic
四、动易系统的安全问题
1、网站数据库名称的设置。(略)
2、过滤设置。
过滤要禁止注册特殊用户名,如:.ASP、.PHP、.JSP......
3、上传设置。
要防止上传GIF木马......
4、插件的使用要检查后门。
5、整合不利于网站安全。
6、插件与整合。
五、未来的网站安全走向?
1、服务器的系统换代。
2、网站程序由ASP过渡到PHP、NET......
3、硬件与软件构成立体式防护。
4、网管人员的再深造。 |
