网站安全方面知识点(减少网站被黑)
如题:最近我看dz插件网有很多小伙伴网站频繁被黑客黑、挂寄生虫黑帽程序等等,这次我就来讲讲安全方面的知识点。其实这种称不上黑客,行业内叫"脚本小子"。
首先你要知道,脚本小子入侵站点无非就是做黑帽seo,你网站有收录有流量,有利用价值,也就成了他的入侵对象。
被Ri最多的CMS:织梦、PHPCMSv9 DZ论坛3.4版本以下 WP博客 帝国 等等...还有一些小众化CMS就不多举例了
上面说的这些CMS程序 在16-20年爆了太多漏洞,不了解的可以自行百度。
1.网站程序
不管你选用任何CMS,一定去官网下载最新版本,其他模板网站的的程序别用,因为,那些版本都是很早以前的,还有可能有后门,被报出来的漏洞根本没有修复,你一旦上线使用,我相信一个刚学的小白,利用百度公布的EXP,构造好。都可以顺秒你的网站。当然也不排除,官网最新版本的程序也有未被爆出来的Oday。
2.服务器
推荐使用linux系统,windows03 08 12 16等服务器,服务器商,默认系统都是没有打补丁的,如果没更新系统补丁的话,提权的几率很高,但不管什么系统,系统补丁一定要全打上。关闭或防火墙限制一些铭感服务端口,如:FTP-21 rsync-873 等等。
3.网站容器
不管你使用apache还是nginx 还是其他,网站运行用户一定要低权限账户去运行。
数据库运行用户也是一样,用降权账户去运行,如果你直接使用system权限去运行,当网站被置入shell,只需要两条系统命令,就可以让你服务器沦陷。降权账户百度教程。这里就不细说了。4友大部分站点都是php程序,那么php的铭感函数也要禁用。修改php.ini:
4.网站安全
1.网站目录权限控制
图片目录给网站运行用户可写权限,不给php执行权限,其他目录以及文件只给php执行权限,不给可写权限,简单12个字:可写不可执行,可执行不可写。
2.网站后台地址
能设置多复杂就多复杂,可绑定二级域名或者三级域名下,不能分离出来就改目录名字,设置复杂一点,别傻傻把后台地址写在robots.txt里面,入侵者访问的第一个文件就是robots.txt。有编写能力的,后台地址二次验证,限制IP,参数等等
3.后台登录账户密码
设置复杂点,别用常用的密码,有技术手段的通过社工,搞到你密码。一样over。
4.其次就是自己二开或者网站本身就有漏洞的,上传 读取数据或者文件 前台后台交互的点就要严格过滤了,防止被SQL xss SSRF
5.有条件的上第三方防护措施
6.网站被R了,怎么找出问题?
看网站日志文件,确认入侵者的入手点。
如果日志中这带有eval assert exec system等等php函数,多半是exp,如果日志中带有sql查询语句 ,100%注入,然后找出shell是从那个点写入的。
不解决入手点,你再重装系统 恢复多少次备份都没有用,入侵者有钥匙,想进就进。
还有很多就不再继续深入了,说多了也无用,做好这些基础。安全等级也会提高40%。
总来的说,入侵者最终目的就是网站的控制权,能写入文件,或者能执行系统命令进行提权到最高权限。只要把目录权限和系统方面等等的安全控制到位,就算一般的脚本小子进入后台或者有注入点,能Ri下也是有挑战难度的,你要知道牛逼的技术大牛,只会光顾大战 权7 权8那种。
首先你要知道,脚本小子入侵站点无非就是做黑帽seo,你网站有收录有流量,有利用价值,也就成了他的入侵对象。
被Ri最多的CMS:织梦、PHPCMSv9 DZ论坛3.4版本以下 WP博客 帝国 等等...还有一些小众化CMS就不多举例了
上面说的这些CMS程序 在16-20年爆了太多漏洞,不了解的可以自行百度。
1.网站程序
不管你选用任何CMS,一定去官网下载最新版本,其他模板网站的的程序别用,因为,那些版本都是很早以前的,还有可能有后门,被报出来的漏洞根本没有修复,你一旦上线使用,我相信一个刚学的小白,利用百度公布的EXP,构造好。都可以顺秒你的网站。当然也不排除,官网最新版本的程序也有未被爆出来的Oday。
2.服务器
推荐使用linux系统,windows03 08 12 16等服务器,服务器商,默认系统都是没有打补丁的,如果没更新系统补丁的话,提权的几率很高,但不管什么系统,系统补丁一定要全打上。关闭或防火墙限制一些铭感服务端口,如:FTP-21 rsync-873 等等。
3.网站容器
不管你使用apache还是nginx 还是其他,网站运行用户一定要低权限账户去运行。
数据库运行用户也是一样,用降权账户去运行,如果你直接使用system权限去运行,当网站被置入shell,只需要两条系统命令,就可以让你服务器沦陷。降权账户百度教程。这里就不细说了。4友大部分站点都是php程序,那么php的铭感函数也要禁用。修改php.ini:
- disable_functions = system,exec,shell_exec,passthru,proc_open,proc_close, proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname,phpinfo
4.网站安全
1.网站目录权限控制
图片目录给网站运行用户可写权限,不给php执行权限,其他目录以及文件只给php执行权限,不给可写权限,简单12个字:可写不可执行,可执行不可写。
2.网站后台地址
能设置多复杂就多复杂,可绑定二级域名或者三级域名下,不能分离出来就改目录名字,设置复杂一点,别傻傻把后台地址写在robots.txt里面,入侵者访问的第一个文件就是robots.txt。有编写能力的,后台地址二次验证,限制IP,参数等等
3.后台登录账户密码
设置复杂点,别用常用的密码,有技术手段的通过社工,搞到你密码。一样over。
4.其次就是自己二开或者网站本身就有漏洞的,上传 读取数据或者文件 前台后台交互的点就要严格过滤了,防止被SQL xss SSRF
5.有条件的上第三方防护措施
6.网站被R了,怎么找出问题?
看网站日志文件,确认入侵者的入手点。
如果日志中这带有eval assert exec system等等php函数,多半是exp,如果日志中带有sql查询语句 ,100%注入,然后找出shell是从那个点写入的。
不解决入手点,你再重装系统 恢复多少次备份都没有用,入侵者有钥匙,想进就进。
还有很多就不再继续深入了,说多了也无用,做好这些基础。安全等级也会提高40%。
总来的说,入侵者最终目的就是网站的控制权,能写入文件,或者能执行系统命令进行提权到最高权限。只要把目录权限和系统方面等等的安全控制到位,就算一般的脚本小子进入后台或者有注入点,能Ri下也是有挑战难度的,你要知道牛逼的技术大牛,只会光顾大战 权7 权8那种。