中小企业如何提高网站安全(iis被挂马什么意思)
iis被挂马什么意思,中小企业如何提高网站安全?
感谢您的邀请,本人有多年服务器运维经验,
以下从6个角度讲解下如何进行网站安全防护:
1.域名解析的安全策略
一般性企业或者个人都会忽略域名解析的安全性,随便将域名托管到一些免费域名解析平台上进行解析,但是经过测试大部分域名解析存在问题,域名解析生效时间长,解析出现错误,甚至被别人非法劫持。这里小编推荐一些知名的域名服务商,如万网、新网、西部数码等,经过小编测试,这些域名服务商解析安全稳定,出现稳定的概率较小。
2.网站加速防护策略
有网站被攻击的现象的可以使用云加速,如加速乐、百度云加速、360DNS等,但是目前免费的加速防护基本上被人破解了,而且加速后网站部分地区打不开,所以如果有需要的企业或者网站请选择付费型加速产品,如果没有网站被攻击现象产生的不要随意选择加速类产品,选择后反而产生不利影响。
3.服务器安全防护策略
服务器安全性相当重要,很多企业或者个人购买了独立服务器、云主机等之后,配置一下就开始挂网站,但是发现网站打开很慢,服务器流量很大,这样的服务器一定要注意,你的服务器可能正在被别人攻击。这时候你需要在服务器上安装安全狗、360网站卫士和云锁等相关软件,这样可以防御一定的攻击。如果你对服务器有专业的研究,你也可以制定一套自己的服务器安全策略。
4.网站安全防护策略
服务器安全防护可以保护整个服务器的安全,但是针对每个网站,安全策略肯定不一样,所以这时候如果还有攻击的话,请针对网站再进行如iis防护的网站安全防护。这时候可以安装一些网站安全软件或者通过防火墙等进行安全防护。
5.网站代码安全防护
在进行网站代码的编写的时候,一定要注意代码安全,如php或asp一定要查找漏洞,只有弥补好漏洞才能减少攻击。特别是对一些网上流行的网站系统,在编写或者开发的时候,一定要注意修复网站系统存在漏洞。
6.网站后台安全防护
一些新站长在进行网站系统安装的时候,都是默认后台或者默认密码,注意更改后台登录用户名和密码,一定要注意网站后台的安全防护。
总之,网站安全防护对于网站来说,相当重要。特别是一些企业对于企业网站安全认识不足,造成网站打不开或者挂马,这给客户访问带来了不必要的麻烦。希望广大企业或者站长通过以上六点可以防护好自己的网站,带给客户更好的用户体验。
如何防止服务器被入侵?
泻药。
防火墙这些不说,常规操作,上就行了。
此外,我一般是通过监控日志方式来保护服务器,可以对敏感文件进行实时监控,钉钉微信告警。
监控工具也很多,比较轻量的开源监控工具,推荐wgcloud监控系统,主要是安装上手简单,体验好
有什么办法解决吗?
大规模DDos流量清洗
关于服务器被人攻击的处理,当然先要分两种情况,如果是大规模DDos抢注攻击的话,一般对付办法不多,根本办法是通过运营商做流量清洗,分布式部署系统分流。用一些基于公有云的防护手段(费钱,效果一般般),一些安全公司昂贵的设备(作用也不大,有钱就可以多买)。
一般性防护手段一般性防护手段,通过硬防或者软防火墙比如iptables,主要要限制服务器端口访问,除了必须的80,443以外其他端口一律不对外开放。
关于对外开放端口限制和检测的访问,我的原创文章都提过几篇介绍过:
「安全扫描」看好你的大门,企业安全端口扫描实践
基本上就是在外面扫描你服务器ip,看都开了那些端口,对不该开放端口开放的话就封禁掉。主要对外开放的危险端口有 所有udp端口(比如最近大规模针对github的攻击,就用对外开放的memcache udp 11211 udp端口进行的反射式攻击),tcp重点关注端口: 21(ftp),22(ssh) 23(telnet),2181(zookeeper),3306(mysql),6379(redis),8161和61616(mq),11211(memcache),27017/27018(mongodb),9200(elasticsearch)还有其他的根据企业部署情况来增加。
在服务上查看开放的监听端口情况使用命令:
netstat -ntualp
Local地址 类似于 0.0.0.0:3306和 :::22的监听的服务器就要重点关注,一般除了web都不应该对外开放。
对web服务:
1、注意升级所用程序的版本,有漏洞的要及时升级(比如dedecms,struts2的漏洞等),部署的时候注意权限设置,不给多余的权限。
2、部署必要的waf系统,安利下笔者有个开源免费的waf,有需要的可以联系我。
3、部署时候精良先通过CDN或者自己用nginx返乡代理来对用户,不直接把php 应用、tomcat应用服务器对外,这样即可以提高访问效率,增加访问并发,还可以低于短期大流量访问的冲击。
如果服务器被人攻击,挂马了,怎么排除和解决常见异常情况:异常的流量、异常tcp链接(来源端口,往外发的端口)、异常的访问日志(大量的ip频繁的访问个别文件)。
如果部署了监控系统的话(强烈建议部署zabbix,并增加对系统添加专门安全items),可以方便通过zabbix监控图和趋势对比了解这些信息:
利用last,lastb发现异常的用户登录情况,ip来源。
利用lastlog,/var/log/message,/var/log/secure,日志等,是否权限已经被攻陷。
用history 发现shell执行情况信息。
用top,ps,pstree等发现异常进程和服务器负载等情况。
用netstat -natlp发现异常进程情况。用w命令发现当前系统登录用户的情况。
如果发现异常用户,立即修改用户密码,pkill -kill -t tty 剔除异常用户。然后进行进一步处理。
发现异常进程,立即禁止,冻结禁止。
发现一个恶意进程后通过 ls -al /proc/Pid (Pid为具体的进程号),发现进程的启动路径,启动的文件所在目录等信息。
如果发现异常连接数,通过iptables封禁相关端口或者ip
iptables -I INPUT -s ip -j DROP
iptables -I OUTPUT -p tcp --dport 25 -j DROP
iptables -I INPUT -p tcp --dport 25 -j DROP
对清理移动木马,杀掉进程
首先清理掉木马创建的cron 计划项和启动项。
ls -al /etc/proc/Pid/ 找的恶意木马文件。
恶意进程的执行目录和文件
最后用一条命令 kill -9 所有的进程ID && rm -rf 所有涉及的文件和目录。
更多信息可以关注笔者的文章或者咨询笔者:
「系统安全」当网站发生异常,出现安全事故,如何进行排查处置?
「WEB安全」单行命令查杀Webshell(php为例)
- 上一篇: 百兆十兆(10G口是代表什么)
- 下一篇:工业互联网该如何发展(服务器为什么云化)
