一、网站安全措施不足的原因
①、魔高一尺道高一丈,互联网技术发展迅猛,黑客攻击技术也愈加精进,普通用户网站防不胜防。保护web服务器的安全,可以安装一款好用的web应用防火墙,设定专门的防护策略,保护应用层免受攻击,减少漏洞和威胁。;
②、很多网站为了追求更多的交互效果,满足用户体验,越复杂的程序,存在的漏洞越多。偶尔不关注安全代码,网站设计开发者、维护人员一不留神就会被盯上;
③、大部分游戏服务器前期没有做好预备带宽,而DDoS 使用UDP报文、TCP报文攻击游戏服务器的带宽,攻击十分暴力,致使服务器带宽剧增,结果就是服务器拥塞,玩家访问不了服务器。提供按需保护或永远保护的功能,自动检测和减轻针对网站和Web应用程序的攻击。还可以保护DNS服务器免受网络层和应用层攻击。全方面维护网络安全。
④、大部分网站对流量攻击是无法防御的,黑客通过TCP协议的漏洞,利用海量真实肉鸡向服务器发起TCP请求,如果你的服务器只能接收2000个/秒左右,突然遇到遇到20w个TCP请求,服务器TCP队列占满,CPU升高、内存过载,造成服务器宕机,而且这种攻击的流量很小,和你真实业务一致,难以发现又很难防御。
⑤、除了以上几种,跟多的是:数据库信息泄漏、域名泛解析、301跳转等非常有针对性的攻击, 目前,网站只有做好基础的安全防护:有条件就采用云计算或服务器托管的方式保证服务器安全,互联数据网络专线也是不错的选择。如果突然出现网站被攻击的现象,做好网站定期备份是非常重要的。
由于网站安全的复杂性,安全防护更加复杂,仅仅依靠单一的产品或者统一的服务无法从根本上解决网站安全问题。但是只要大家认识到网站安全的重要性,针对性的进行防护还是能够解决相当部分的安全问题,行业除了选择“香港高防服务器”,还可以从下面6个角度讲解下如何进行网站安全防护:
二、网站安全加固防护的方法
1、域名解析的网站防护:域名泛解析是导致域名解析时间长、解析错误、非法劫持的主要原因。大多数企业和个人随便将域名托管到一些免费域名解析平台上进行解析。这里小编推荐一些知名的域名服务商,如万网、新网、互联数据等,这些多是十多年的域名服务商,解析安全稳定,出现稳定的概率较小。
2、服务器安全防护:任何网站防护多是首先针对服务器进行的,独立服务器、云主机虽然是不错的选择,但也最容易遭受攻击,网站打开很慢,服务器流量很大,就表示,你的服务器可能被人攻击。你可以在服务器上安装安全狗、360网站卫士等相关软件,就像大家个人电脑一样定期扫描、查杀。
3、网站安全防护:服务器安全防护可以保护整个服务器的安全,但是针对每个网站,安全策略肯定不一样,所以这时候如果还有攻击的话,请针对网站再进行如iis防护的网站安全防护。这时候可以安装一些网站安全软件或者通过防火墙等进行安全防护。特别是dedecms一定要进行安全防护。
4、网站后台安全防护:这个在大家学习建站的时候多经常被提醒,像织梦等免费网站程序,大家安装的时候默认后台:域名/dede/和账号密码都是默认admin,这样方便了自己也方便了别人,造成网站后台被盗进行挂马。为了保护网站后台的安全,需要更改账号密码、修改文件夹名字。
5、网站代码安全防护:如果你的网站程序是自己一个代码一个代码敲出来的,一定要注意代码安全,一定要检查程序漏洞,只有弥补好漏洞才能减少攻击。特别是对一些网上流行的网站系统,在编写或者开发的时候,一定要注意修复网站系统存在漏洞。
6、网站加速防护:网站首次遭受攻击可以使用云加速,百度云加速、360DNS、互联数据CDN加速等,因为免费的加速防护基本上没用了,而且加速后网站部分地区打不开,所以如果有需要的企业或者网站请选择付费型加速产品,切记遭受攻击才使用加速服务。
@ 不法分子是如何侵入网站的?
黑客们入侵网站普遍的手法/流程
1、信息收集
Whois 信息–注册人、电话、邮箱、DNS、地址
Googlehack–敏感目录、敏感文件、更多信息收集
服务器 IP–Nmap 扫描、端口对应的服务、C 段
旁注–Bing 查询、脚本工具
如果遇到 CDN–Cloudflare(绕过)、从子域入手(mail,postfix)、DNS 传送域漏洞
服务器、组件(指纹)–操作系统、web server(apache,nginx,iis)、脚本语言
通过信息收集阶段,攻击者基本上已经能够获取到网站的绝大部分信息,当然信息收集作为网站入侵的第一步,决定着后续入侵的成功。
2、漏洞挖掘
探测 Web 应用指纹–Discuz、PHPwind、Dedecms、Ecshop…
XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含…
上传漏洞–截断、修改、解析漏洞
有无验证码–进行暴力破解
经过漫长的一天,攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干,下一步他们便会开始利用这些漏洞获取网站权限。
3、漏洞利用
思考目的性–达到什么样的效果
隐藏,破坏性–根据探测到的应用指纹寻找对应的 EXP 攻击载荷或者自己编写
开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到 webshell
4、权限提升
根据服务器类型选择不同的攻击载荷进行权限提升
无法进行权限提升,结合获取的资料开始密码猜解,回溯信息收集
5、植入后门
隐蔽性
定期查看并更新,保持周期性
6、日志清理
伪装性,隐蔽性,避免激警他们通常选择删除指定日志
根据时间段,find 相应日志文件
太多太多。。。
说了那么多,这些步骤不知道你看懂了多少?其实大部分的脚本小黑显然不用这些繁琐的步骤,他们只喜欢快感!通常他们会使用各种漏洞利用工具或者弱口令(admin,admin888)进行攻击,入侵无果就会选择睡觉、打飞机或者去做一些其他的事情。当然,这种“黑客”仅仅是出于“快感”而去想入侵你的网站,如果是别有它意的人,麻烦就来了。
@ 你会担心云服务器安全吗?
会有危险
偶的服务器是腾讯云的(1块钱一个月)的学生服务器,上面跑着偶的小博客,今年八月完成了服务器的docker化,用nginx-proxy完成反向代理和套https。偶今天dump下了它的日志,准备看一下日志中有多少有趣的东西。
日志文件的大小足足有16M大,也许几张高清大图的大小远超16M,但是这可是纯文本文件啊。为了分析方便偶使用脚本将日志文件分字段拆分插入了mariadb数据库,方便以后分析查询。
由于使用了nginx-proxy容器作为反向代理,只有以正确的域名访问偶的服务器才会得到正确的响应,通过ip访问或者通过错误的域名访问统统503。没想到这个不太刻意的设置居然成了偶的服务器的第一道防火墙。
把服务器日志导入数据库,大概滤掉正常的请求,首先看到的是师傅们扫目录的记录。
这些请求全部来自一个香港的IP(大概是个vps),这些大概是扫描服务器中的webshell(webshell是可以通过web直接操作服务器的后门,可以说是一种木马),也有的是扫描wp-config.php这样的WordPress配置文件,一般没有什么危害,只是作为信息收集。
继续往下看大家发现了更有趣的东西:
有4834条记录与phpmyadmin的扫描有关。大家知道phpmyadmin是一个很好用的类MySQL数据库的管理前端,很多学艺不精的程序员很喜欢用它管理数据库,大大咧咧的把它放在了根目录,再配以祖传的弱密码。被拖库只是时间和运气问题。这些流量有来自香港,福建,也有北京。
是不是所有扫描都是那么简单粗暴呢,并没有,大家注意了这位师傅的扫描记录:
风格一改其他师傅简单粗暴的风格,怀着好奇心大家搜寻了一下这些请求背后的故事。
第一个payload针对的是织梦cms(Dedecms)的任意文件上传漏洞,这已经是一个老漏洞了,黑客可以利用这个漏洞上传webshell木马什么的,最终控制服务器。
第三个payload(xycms)针对的是xycms咨询公司建站系统的漏洞(都不能叫漏洞了),直接把数据库放在了web目录下,真正实现一键拖库。
(厂商忽略此漏洞可真是太蠢了)
下一个漏洞又是织梦cms的,就是那个download.php和ad_js的。这是一个的高危漏洞,因为变量未被正确初始化, 黑客可以通过一套花里胡哨的操作执行sql注入,并且还能通过一个程序把数据库中的内容写入文件,最终通过一套连环操作在服务器中留下后门。
下一个是个新漏洞,这个高危漏洞今天7月才被爆出,可以远程执行代码,来自Modx Revolution
漏洞全来自php?并没有,大家注意到这样一条记录:
此攻击针对的是巨硬家IIS 6.0的一个安全漏洞,这是一个利用缓存区溢出的高危漏洞,可以导致远程代码执行。
还有一些利用Weblogic的新洞(CVE--3252),Apache Struts2的漏洞(CVE--5638)的payload偶在这里就不再列举了。当然当然,最有意思的还属最后一个payload:
这个payload罕见的附上了用户名,大家在网上搜索和这个payload相关信息的时候发现,这并不是一个针对服务器的攻击payload,而是针对一些物联网设备,比如说……摄像头。
hi3510是海思公司推出的一款视频压缩芯片,主要用于摄像头,大家找到了一份IP Camera CGI的应用指南,找到了相对应的命令用法:
但是大家并没有在网上搜索到相关的漏洞,但是发现很多网站的日志中都存在这条记录
所以这极有可能是一个还没有公开的,物联网中摄像头中存在的漏洞。所以,有师傅日了摄像头当肉鸡看起来并不是传言。
然而,上面分析的这些,也只是黑客黑产冰山上的小冰渣。现实比这要严重的多,也许黑客在黑市中贩卖着你的隐私,你的服务器,而你却浑然不知。
@ 织梦与帝国那个程序好用?
入手:从入手方面来说,织梦更占优势,简单易用。帝国相对来说入手难些,有灵动标签和万能标签以及其他标签之分,很多新手不太适应做站的效率:对于新手来说,织梦套模板似乎更简单,而帝国可能需要熟悉万能和灵动标签用法,相对难记生成:感觉织梦用来做一些企业站还是很好的,但是用来做信息量大的门户站之类的,真不行,信息量多了以后,生成速度比帝国慢很多。
安全性:这个织梦真心没法和帝国比,织梦频繁更新各种安全补丁,但是帝国就是有特别大的漏洞,而且帝国模板都是存放在数据库,所以也不会存在被下载的问题
@ 值得推荐的开源PHPCMS系统有哪些?
分享个开源项目快速开发框架,采用spring cloud alibaba +nacos +vue的 技术栈,实现了大部分
钉钉宜搭的快速开发功能,很值得借鉴下。这是在git上开源的快速开发项目,项目采用微服务为基础的脚手架,包括流程、表单、列表、图表、应用等多个界面化的配置引擎。项目介绍:**JVS的核心目标:**让中小型开发团队过得轻松一点,优化开发团队人力成本高、交付效率低、质量不可控、周期不确定、基础技术投入不足、高端技术支持不够等JVS是面向软件开发团队可以快速实现应用的基础开发框架,采用微服务分布式框架,提供丰富的基础功能,集成众多业务引擎,它灵活性强,界面化配置对开发者友好,底层容器化构建,集合持续化构建。项目标签低代码、微服务、支持SaaS、私有化部署、DevOps、开源项目地址框架前端地址:/software-minister/jvs-ui框架后端地址:/software-minister/jvs快速安装地址:JVS/jvs-docker-compose体验地址:/#/login登陆可以通过微信扫码登陆,对于配置数据,请各位技术同学手下留情。部署文档/software-minister/jvs-docker-compose/blob/master/readme.md**物理拓扑:技术文档地址(微信登陆可查看):技术栈说明:系统部分截图:登陆页面配置化首页系统基础信息设置框架基础功能应用创建列表配置流程配置表单配置图表配置逻辑配置demo环境:/#/login开源地址:/software-minister/jvs如果还有其他的疑问,可以私信
