$7.49 .com domain with free InstantPage Website Builder$1.99 Web Hosting   捷飞网络官方淘宝店   Godaddy 优惠码
返回列表 发帖
分享到:




[安全分享]关于网站防黑的设置方法

以下是本公司技术人员,多年经验的总结,如果您能仔细阅读,对于您维护好您的网站,有很大的帮助,非本公司用户也可参考使用3 @, z# p0 z) l, }' c" u0 Z  L
' [, x2 a! X/ [8 z7 y
为什么空间会被黑以及被黑后的处理方法 (状态一般是:中毒、被删除网页、被修改代码、被人下载等)0 j8 M# s4 c  ~: [, z2 `5 p

& [* \4 c+ v6 }3 z( o2 n4 F用户的主机被黑一般有两种可能0 H0 m. V& Q1 Q2 f0 e' t( h
1.FTP的密码太简单:比如您把密码设置成了简单密码 如123456,china,red等 或 您的FTP名和密码是一样的,这样的密码会在短期内就被某些恶意的人搜索到,登陆您的FTP,放入木马在您的站点程序中(状态一般是:中毒、被删除网页、被修改代码、被人下载等)。最彻底的解决方法是:删除FTP中所有资料,把FTP密码修改的比较复杂,如修改成jkgraweihrfweu这样无规则的密码,同时确保您的FTP名和您的FTP密码不一样,重新上传干净的站点;另外可以使用本公司赠送的安全设置功能来加固网站安全:即 设置写入权限 和 设置执行权限,详细设置方法见最下方。9 c% O7 |& n3 m8 U

# k8 Z6 z- z9 ?6 x) ?2.您的网站程序并不安全或本来存在漏洞或木马程序:此类情况100%都是因为用户随便下载网络上的网站就直接使用,并不去查代码有没有漏洞,也根本不懂去查查有没有木马,网站从开始到最后也从不升级或维护,根本不知道要不要打上新的补丁,杜绝此类情况的方法是:不要随便下载网络上的网站程序,应该下载国内外一些知名的网站程序,可咨询本公司技术人员,也可以请懂程序的朋友帮忙选择,即使下载国内知名程序,也必须到他们官方站点去下载,不应该在其他网站下载,就是这样也并不是安全的,还必须经常查看官方站点是否有新的漏洞公告或新的补丁发布,一旦有新的补丁或漏洞,必须马上根据官方说明打补丁或处理漏洞。否则被黑那也只是时间问题。另外如果您的网站是由某个网络公司设计开发的,请最少每隔3个月联系开发商检查漏洞或更新代码,因为随着新技术的不断发展,即使原来无漏洞的网站程序都可能出现致命的漏洞,否则被黑也只是时间问题。最彻底的解决方法是:删除FTP中所有资料,重新上传干净的站点,确保站点程序无漏洞或无木马;另外可以使用本公司赠送的安全设置功能来加固网站安全:即 设置写入权限 和 设置执行权限,详细设置方法见最下方。: B$ j, U. x0 @9 E# [- K% y4 S

/ g) e, J1 U, v! \8 j----------------------------------------------------------------------------------------------------------------
7 U" S  u+ J+ G) l6 C
" X( P2 Z: ~9 d" {本公司技术人员的建议(经验) 2 U) V0 @, l2 u# |, R7 p

9 Y, O1 {8 T4 i0 V( @0 ?在所有被黑的网站中,95%以上都是ASP网站,而PHP网站不到3% ,虽然从这些统计数据上,我们不能说明PHP肯定比ASP安全,但是最少可以说明采用PHP网站程序,被黑的机会可能是最少的 ,所以本公司技术人员建议,如果可能的话,请尽量使用PHP的网站程序1 {7 }* z7 O% m. n

: e0 `& d( @- ~" m4 J7 iASP.NET的网站程序,因使用的人太少(0.5%---1%),并有大量未知的漏洞,本公司技术人员不建议普通用户使用,建议等ASP.net的产品大量上市、成熟的时候再使用(除非您仅用来学习NET程序开放,技术人员认为最少在2009年以前,NET程序都只是玩具型的或是试验型的,基本不能用来做真正的网站,仅可用于测试或学习编程)。注意:以上的建议对于程序高手并不适合,因为任何一种语言,只要高手们用心去查漏洞,并且网站运行过程中,日常的管理跟得上(即一旦出现新漏洞,能立即找到修复方法或打上新的补丁),相对来说都是安全的,相反再安全的程序,只要不管理,总是有被黑的一天。 8 x, W1 f! O6 B

1 t4 G9 P9 t  d3 Q; y& s) O----------------------------------------------------------------------------------------------------------------2 @/ e* c9 m5 w* {; g8 _" ~6 }4 ^
: M% A* b5 B/ r6 L6 c/ ^8 G* P
本公司赠送的安全设置方法 :即使 您的网站程序本身就有木马或漏洞都能保证安全的万能方法/ Q, K7 v+ V; e; i* v
% d. X4 V/ j$ r  o/ ~) K# U8 l( m
即:设置写入权限和执行权限,具体操作步骤如下:7 Z- G, U5 d7 S0 n3 {
9 c" E2 h0 e, r1 g- D+ ~
使用您的用户名和密码登陆本站(按照以下步骤点击) ' _) z  A2 A' o
(1)管理中心--产品管理--主机管理--管理下的图标--[权限设置]
4 s) p5 _8 Z! V4 e% S( g, \! N/ B, |! D4 {& T5 ?
⊙ 全站FSO权限设置
2 K4 M" ~2 @3 L4 J. W8 i⊙ 目录ASP执行权限设置2 p! x, d. K. j9 Z* C4 X
⊙ 目录权限设置
+ P% m8 |$ W5 v) I( V
2 \* \1 {; n6 \0 b- a9 z- W9 F3 U本功能的作用是:如果您的网站程序本身就有木马或漏洞,本功能可以让恶意的人无法利用这些漏洞来上传木马到你的空间,或 可以使恶意的人无法利用您网站中的木马修改或删除您的网站。
% }& E: v8 m: L
/ ~% m2 o& ?: q" l2 [6 C# Q2 d----------------------------------------------------------------------------------------------------------------
4 s) u& p' R3 X. P4 P1 x
1 q) r3 u9 v: L, a总之
9 H+ r1 _$ m% I' b2 p6 l& w# X0 X+ i: m# U
在网站正常运行时:空间应该全部关闭写入权限,只保留需要写权限的某几个目录,同时被保留写权限的目录,必须要关闭执行权限 。站点需要更新时:开放所有写入权限,更新完毕后立即关闭写入权限。
7 c9 X% R7 u4 S) Y  R6 n1 Z
; R% w0 W8 H, L原则是:% W4 B' D1 X- w9 i: S6 S* C0 Z
1.有写入权限的目录,不能有执行权限
* ~3 C7 P6 V* J- S, I2.有执行权限的目录,不能有写入权限
. ^5 N+ R  W* u( z4 B+ B- a* _$ X5 P- f
实际例子A:
! u7 P3 D1 I; [3 M2 _比如某个用户空间内是论坛: 论坛是容许上传附件的; n" k1 D+ ]4 V) m  u' r5 Q+ A
安全设置方法
1 C. ]+ o, l! h3 C1、经常:查看官方论坛有没有新补丁,必须保证自己论坛程序都是最新的,否则设置的再安全也可能出问题。9 X1 P& l7 h. u9 m: v
2、关闭:整个空间写入权限。
. |- L3 L% v  s0 q( a: {3、开放:文件上传目录、数据库目录、头像目录 写入权限
9 `% D+ q9 Y+ a7 B4 M4、关闭:文件上传目录、数据库目录、头像目录 执行权限
9 s! a, B' O9 @这样可最大限度的保证安全性,即:可以最大限度的保证不被传入木马,即使被传入也不能被执行。6 x0 N8 U) M9 X& X
. w% ?7 ?4 j9 f

6 p! R' z8 e  V7 \5 n3 W# {实际例子B:% b1 M6 |$ a4 B/ ^
比如某个普通网站
- k0 R% c9 R- l* S安全设置方法7 ~) D% O3 s9 V- X1 R4 [) t
1、关闭:整个空间写入权限。& S& s/ m) `7 \0 v! V, G1 a% h
2、开放:数据库目录写入权限(如果这个站点有上传功能,那么开放上传目录的写入权限同时关闭这个上传目录的执行权限)
6 @0 \6 g0 B4 r* r4 J' @. `4、关闭:数据库目录执行权限(如果这个站点有上传功能,那么开放上传目录的写入权限同时关闭这个上传目录的执行权限)
# W, V- R& N  X% N. e0 F2 W: R- u这样可最大限度的保证安全性,即:可以最大限度的保证不被传入木马,即使被传入也不能被执行。

返回列表
Namecheap
Namecheap.com - Cheap domain name registration, renewal and transfers - Free SSL Certificates - Web Hosting
互联网安全