2.Web應用程序漏洞
很多站長(cháng)為了減少開(kāi)發(fā)成本,選擇了一些簡(jiǎn)單易用的開(kāi)源或商業(yè)程序,比如最近漏洞層出不窮的dedecms,ecshop,phpcms等等,而這些程序因為安全性上的缺失,一直成為了黑客批量入侵的最佳目標。
而這些漏洞往往都是SQL注入,命令執行,文件上傳等可導致服務(wù)器權限被黑客獲取的高危漏洞。
從阿里云云盾安全中心的分析表現,一些應用程序安全性表現較差,幾乎成了漏勺,用戶(hù)選擇這些應用程序的時(shí)候一定要小心。
因為開(kāi)源程序的特性,黑客很容易獲取到程序源代碼,并從中分析出新的漏洞(0day),因此完全開(kāi)源的程序其安全性并不能得到保障,但我們建議您一般需要使用最新版本的程序,因為最新的版本一般己經(jīng)修復了己知的嚴重漏洞,同時(shí)您還需要關(guān)注這些程序發(fā)布的升級通知和安全補丁通知。
當然,普通站長(cháng)并沒(méi)有這么多時(shí)間投入到安全維護上,也不是沒(méi)有一勞永逸的辦法,如果您的服務(wù)器位于阿里云上,我們建議您開(kāi)啟阿里云云盾的WAF功能,開(kāi)啟WAF后,所有針對您網(wǎng)站的WEB攻擊都能得到有效的防御,并且當出現新的漏洞時(shí),云盾的安全人員會(huì )第一時(shí)間更新虛擬補丁應對新的漏洞攻擊,確保您網(wǎng)站安全無(wú)虞。
3 .后門(mén)攻擊和配置漏洞
在安全的問(wèn)題上不存在小事,因此在向服務(wù)器傳輸文件,部署應用程序時(shí),很可能就在給服務(wù)器留下安全隱患。
目前互聯(lián)網(wǎng)上很多提供應用程序下載和分發(fā)的站點(diǎn),普通的站長(cháng)經(jīng)常會(huì )不選擇在官網(wǎng)下載而是直接下載一些別人發(fā)布的應用程序來(lái)使用,而這些非官網(wǎng)的應用程序其實(shí)大部分都內置了各種后門(mén),當您部署上去的時(shí)候己經(jīng)給黑客留下了秘密通道。
因此在您部署或遷移一個(gè)新的環(huán)境時(shí)請務(wù)必對您的應用程序進(jìn)行一次整體的安全掃描,可以使用一些常用的殺毒軟件,比如(卡巴,趨勢)等。
同樣嚴重的問(wèn)題還發(fā)生在一些服務(wù)器配置上:
最典型的是FTP 匿名的問(wèn)題,互聯(lián)網(wǎng)上有很多專(zhuān)門(mén)掃描FTP匿名的入侵機器人,我們經(jīng)常會(huì )發(fā)現一些用戶(hù)給自己的服務(wù)器開(kāi)啟了FTP服務(wù),但因為配置不當把匿名訪(fǎng)問(wèn)也開(kāi)啟了,但最關(guān)鍵的是匿名的用戶(hù)也有可以寫(xiě)入文件的權限,導致服務(wù)器最終被入侵。
FTP 匿名寫(xiě)入的問(wèn)題主要集中在以下幾種FTP 服務(wù)器上:
因為如果您無(wú)需匿名訪(fǎng)問(wèn)請一定要關(guān)閉匿名訪(fǎng)問(wèn)功能(如圖需將匿名去除),如果需要匿名訪(fǎng)問(wèn),請僅開(kāi)啟只讀權限。
