用戶的虛擬主機(jī)被黑,服務(wù)器是否不安全?
每個(gè)虛擬主機(jī)用戶都有FSO權(quán)限(FSO通俗的解釋就是用戶對空間擁有可讀寫和完全控制的權(quán)限),就是說,用戶被人上傳了ASP程序,用FSO想對它做什么都行。例如一些不安全的論壇程序,被上傳了可以執(zhí)行的ASP程序,就可以拿走或刪光某個(gè)用戶的所有內(nèi)容.
某個(gè)被上傳木馬的虛擬主機(jī),只能對此空間進(jìn)行操作,是操作不了別人的空間,也控制不了服務(wù)器。這點(diǎn)是肯定的。
我們不可能代替用戶來設(shè)計(jì)他自己的網(wǎng)站程序,可以做的就是,在虛擬主機(jī)管理中使用鎖定上傳功能、使用不執(zhí)行權(quán)限的功能,可幫助無技術(shù)基礎(chǔ)的用戶提高他程序的安全性。以下給出具體原因和設(shè)置方法:
一、為什么空間會(huì)被黑以及被黑后的處理方法
用戶的主機(jī)被黑(中毒或被修改代碼或網(wǎng)站程序直接被人下載等狀態(tài))一般有兩種可能:
1.FTP的密碼太簡單,比如您把密碼設(shè)置成了簡單密碼比如是123456,china,red等等這樣的非常簡單的密碼或是您的FTP名和密碼是一樣的,這樣的密碼會(huì)在短期內(nèi)就被某些惡意的人搜索到,登陸您的FTP,放入木馬在您的站點(diǎn)程序中(狀態(tài)就是所有人訪問您站點(diǎn)的時(shí)候提示有病毒)或全部刪除您的站點(diǎn)。
解決辦法是:徹底刪除FTP中所有資料,把FTP密碼修改的比較復(fù)雜,如修改成jkgraweihrfweu這樣無規(guī)則的密碼,同時(shí)確保您的FTP名和您的FTP密碼不一樣,重新上傳干凈的站點(diǎn)。
2.您的網(wǎng)站程序并不安全或本來存在漏洞或木馬程序,比如您的站點(diǎn)可能是隨意的從網(wǎng)上下載直接使用的,您也沒有檢查過有沒有漏洞或木馬等等,解決方法是:如果您對程序比較了解,請先檢查程序代碼,如果您對網(wǎng)站程序并不了解我們建議您別隨意使用從網(wǎng)上下載的程序,建議您下載某些著名站點(diǎn)的成熟程序比如Discuz論壇、新云、動(dòng)易等或購買某著名站點(diǎn)的商業(yè)程序(需要經(jīng)常查看官方站點(diǎn)是否有新補(bǔ)丁,否則沒及時(shí)打上新補(bǔ)丁的程序也會(huì)被黑,同時(shí)必須修改這類網(wǎng)站程序的默認(rèn)管理用戶名和密碼,如果是ACCESS數(shù)據(jù)庫網(wǎng)站程序還必須修改默認(rèn)數(shù)據(jù)庫路徑和數(shù)據(jù)庫名)
解決辦法是:徹底刪除FTP中所有資料,重新上傳干凈的站點(diǎn),確保站點(diǎn)程序無漏洞或無木馬。
3.使用本站 提供的設(shè)置寫入權(quán)限功能,將您的整個(gè)空間鎖掉寫入功能,然后獨(dú)立開放某個(gè)需要寫入的目錄的寫入權(quán)限,如果你需要更新站點(diǎn)時(shí),開放寫入權(quán)限,更新完成請立即鎖定寫入功能,這樣可以避免被人傳入木馬或傳入木馬后也無法刪除您的數(shù)據(jù)。(詳細(xì)設(shè)置方法見最下方。)
4.使用本站 提供的設(shè)置執(zhí)行權(quán)限功能,將您的站點(diǎn)中某個(gè)容許上傳目錄或不需要執(zhí)行代碼的目錄關(guān)掉執(zhí)行權(quán)限,比如論壇的上傳目錄和頭像目錄或圖片目錄,經(jīng)常被人利用上傳木馬,黑了論壇,您應(yīng)該取消這些容易被利用的目錄的代碼執(zhí)行權(quán)限,這樣就算被人傳入木馬,也無法執(zhí)行,如果您開放了某個(gè)上傳目錄請一定取消這個(gè)目錄的執(zhí)行權(quán)限。
二.總之
在網(wǎng)站正常運(yùn)行時(shí):空間應(yīng)該全部關(guān)閉寫入權(quán)限,只保留需要寫權(quán)限的某幾個(gè)目錄,同時(shí)被保留寫權(quán)限的目錄,必須要關(guān)閉執(zhí)行權(quán)限 。站點(diǎn)需要更新時(shí):開放所有寫入權(quán)限,更新完畢后立即關(guān)閉寫入權(quán)限。
原則是:
1.有寫入權(quán)限的目錄,不能有執(zhí)行權(quán)限
2.有執(zhí)行權(quán)限的目錄,不能有寫入權(quán)限
這樣最大限度的保證了站點(diǎn)的安全性
實(shí)際例子:
比如某個(gè)用戶空間內(nèi)是論壇: 論壇是容許上傳附件的
安全設(shè)置方法
1、經(jīng)常:查看官方論壇有沒有新補(bǔ)丁,必須保證自己論壇程序都是最新的,否則設(shè)置的再安全也可能出問題。
2、關(guān)閉:整個(gè)空間寫入權(quán)限。
3、開放:文件上傳目錄、數(shù)據(jù)庫目錄、頭像目錄 寫入權(quán)限
4、關(guān)閉:文件上傳目錄、數(shù)據(jù)庫目錄、頭像目錄 執(zhí)行權(quán)限
這樣可最大限度的保證安全性,即:可以最大限度的保證不被傳入木馬,即使被傳入也不能被執(zhí)行。
三、本公司技術(shù)人員的建議(經(jīng)驗(yàn))
在所有被黑的網(wǎng)站中,95%以上都是ASP網(wǎng)站,而PHP網(wǎng)站不到3% ,雖然從這些統(tǒng)計(jì)數(shù)據(jù)上,我們不能說明PHP肯定比ASP安全,但是最少可以說明采用PHP做網(wǎng)站,被黑的機(jī)會(huì)可能是最少的 ,所以本公司技術(shù)人員建議,如果可能的話,請盡量使用PHP做網(wǎng)站(下載PHP寫的網(wǎng)站程序)
注意:以上的建議對于程序高手并不適合,因?yàn)槿魏我环N語言,只要高手們用心去查漏洞,并且網(wǎng)站運(yùn)行過程中,日常的管理跟得上,相對來說都是安全的,相反再安全的程序,只要不管理,總是有被黑的一天。
以下為 設(shè)置寫入權(quán)限和執(zhí)行權(quán)限的具體操作步驟:
1、設(shè)置執(zhí)行權(quán)限
本功能使指定的目錄取消ASP/PHP/ASP.Net執(zhí)行權(quán)限。
使用您的用戶名和密碼登陸本站(按照以下步驟點(diǎn)擊)
(1)自助管理--主機(jī)管理--操作下的管理--[設(shè)置執(zhí)行權(quán)限]--輸入需要取消執(zhí)行權(quán)限的目錄---點(diǎn)取消此目錄執(zhí)行ASP等權(quán)限。
(2)被取消執(zhí)行權(quán)限的目錄可以點(diǎn)恢復(fù)此目錄的執(zhí)行權(quán)限重新恢復(fù)。
(3)注意事項(xiàng):被取消執(zhí)行權(quán)限的目錄無法執(zhí)行代碼,同時(shí)FSO功能也被關(guān)閉。
2、設(shè)置寫入權(quán)限
本功能使指定的目錄關(guān)閉寫入權(quán)限(只有讀的權(quán)限無寫權(quán)限)對安全有重要意義,例如可以將ACCESS放在某個(gè)有寫入權(quán)限的目錄(先修改數(shù)據(jù)庫連接文件,設(shè)置數(shù)據(jù)庫路徑),而將web目錄的寫入關(guān)閉,使ASP木馬根本無法上傳。在整個(gè)網(wǎng)站已鎖定的情況下,還可以單獨(dú)設(shè)置指定的目錄擁有寫入權(quán)限。
使用您的用戶名和密碼登陸本站(按照以下步驟點(diǎn)擊)
(1)自助管理--主機(jī)管理--操作下的 管理--[設(shè)置寫入權(quán)限]--點(diǎn)關(guān)閉網(wǎng)站的寫入權(quán)限。
在整個(gè)網(wǎng)站已鎖定的情況下,還可以單獨(dú)設(shè)置指定的目錄擁有寫入權(quán)限。 輸入具體需要寫入功能的目錄名,點(diǎn)打開此目錄的寫入權(quán)限或關(guān)閉此目錄的寫入權(quán)限。
(2)被關(guān)閉寫入權(quán)限的站點(diǎn) 可以點(diǎn) 恢復(fù)網(wǎng)站的寫入權(quán)限 r重新恢復(fù)。
(3)注意事項(xiàng):寫入權(quán)限關(guān)閉的站點(diǎn),子目錄和FSO也被同時(shí)關(guān)閉。