服务器攻防站 网站后门防范及安全配置

1、后门防范基本功

首先要关闭本机不用的端口或只允许指定的端口访问;其次要使用专杀木马的软件,为了有效地防范木马后门;第三是要学会对进程操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉。

2、安全配置Web服务器

如果公司或企业建立了主页,该如何保证自己的Web服务器的安全性呢?

首先要关闭不必要的服务;其次是建立安全账号策略和安全日志;第三是设置安全的IIS,删除不必要的IIS组件和进行IIS安全配置。

在IIS安全配置时候,要注意修改默认的“Inetpub”目录路径。可以删除C盘的“Inetpub”目录,然后在D盘重建一个“Inetpub”,而后在IIS管理器中将主目录指向新建立的“Inetpub”路径。此外,还需要删除默认的“scripts”、“print”等虚拟目录,然后在IIS管理器中删除不必要的映射,一般情况下保留ASP、ASA就可以了。

具体方法是在“IIS信息服务”管理器中右击主机名,选择“属性”→“主目录”标签,点击“高级”按钮,在“映射”标签中就可以删除不必要的映射了。另外,在属性窗口中选择“网站”标签,然后勾选“启用日志”,并选择“使用W3C扩充日志文件格式”项,每天记录客户IP地址、用户名、服务器端口、方法、URI字根、HTTP状态、用户代理等,而且每天都应审查日志。

在上面的基础工作之后,还需要设置Web站点目录的访问权限。

一般情况下,不要给予目录以写入和允许目录浏览权限,只给予。ASP文件目录以脚本的权限,而不要给予执行权限。在“IIS信息服务”管理器中展开网站的虚拟目录,然后右键点击某个虚拟目录,选择“属性”→“虚拟目录”标签,在“本地路径”下可设置对该目录权限为“读取”或“目录浏览”等。另外也可以通过NTFS分区格式,严格地设置用户目录权限。

而针对企业中最为核心的数据,更要加强对于Access数据库下载的防护。

当使用Access作为后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,就可以下载这个Access数据库文件,这是非常危险的。因此,一般情况下要更改默认的数据库文件名,为你的数据库文件名称起个复杂的非常规的名字,并把它放在比较深的文件目录下。另外,还可以为Access数据库文件加上打开密码。

打开IIS网站属性设置对话窗口,选择“主目录”选项卡,点击“配置”按钮,打开“应用程序配置”对话窗口。而后,点击“添加”按钮,在“可执行文件”中输入“asp.dll”,在“扩展名”中输入“。mdb”,勾选“限制为”项,并输入“禁止”,确定应用后完成设置即可。以后,当入侵者企图下载数据时,将会提示禁止访问。

最后要配置安全的SQL服务器

SQL Server是各种网站系统中使用得最多的数据库系统,一旦遭受攻击,后果是非常严重的。虽然默认的SA用户具有对SQL Server数据库操作的全部权限,但是SA账号的黩认设置为空口令,所以一定要为SA账号设置一个复杂的口令。而且,要严格控制数据库用户的权限,轻易不要给用户直接的查询、更改、插入、删除权限,可以只给用户以访问视图和执行存储过程的权限。

在选择建立网站的Web程序时一定要注意安全性。许多网站系统虽然功能强大,但由于编程人员的安全意识所至,存在着一些很严重的安全漏洞,比如常见的SQL注入漏洞、暴库等,都有可能被黑客利用。同时,我们平时还应该做好网站服务器的数据备份,以便在出现意外时及时地进行数据恢复。

(0)

相关推荐

  • 服务器攻防站 网站后门防范及安全配置

    1.后门防范基本功 首先要关闭本机不用的端口或只允许指定的端口访问:其次要使用专杀木马的软件,为了有效地防范木马后门:第三是要学会对进程操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉. 2.安全配置Web服务器 如果公司或企业建立了主页,该如何保证自己的Web服务器的安全性呢? 首先要关闭不必要的服务:其次是建立安全账号策略和安全日志:第三是设置安全的IIS,删除不必要的IIS组件和进行IIS安全配置. 在IIS安全配置时候,要注意修改默认的"Inetpub&q

  • 分享十个便宜VPS主机-VPS服务器建站和搭建应用服务体验

    分享十个便宜VPS主机-VPS服务器建站和搭建应用服务体验

    前几天分享了新手建站十大免费空间,看那篇文章的朋友基本上都是从免费空间中走出来了,十个免费空间至少有七.八个是曾经用过的.但是自从花钱购买了付费的虚拟主机和VPS主机后,就再也怎么不关心免费空间了,除非是偶尔想用QQ到"外"面透透气. 从目前的主机和VPS价格来看,新手建站的话购买一个主机的成本已经大大降低了.以万网的空间为例,几年前一个100MB的虚拟主机一年的价格就高达几百元,如果另算MysqL数据库的话,新手建站根本不会去考虑,但是现在阿里云的VPS一个月才50元. 美国的VPS

  • CentOS配置虚拟主机virtualhost使服务器支持多网站多域名的方法

    本文实例讲述了CentOS配置虚拟主机virtualhost使服务器支持多网站多域名的方法.分享给大家供大家参考,具体如下: 如何让centos(redhat)配置虚拟主机,让服务器支持多个网站,针对Apache,只需要你修改apache配置文件/etc/httpd/conf/httpd.conf即可. 里面有个example文件,你只要对应配置即可. #<VirtualHost *:80> # ServerAdmin webmaster@dummy-host.example.com # Do

  • win2008 R2设置IP安全策略后在服务器内打开网站很慢或无法访问外部网站的原因

    win2008R2设置IP安全策略后在服务器内打开网站很慢速度只有几KB的原因 是因为IP安全策略中的关闭策略中设置了原地址"任何IP"到目标地址"任何IP"的UDP任何端口都关闭: 修改为原地址"我的IP地址"到目标地址"任何IP"的UDP任何端口都关闭,再开放53端口的UDP,我的IP到DNS的IP就可以了!这个是为了解析域名用的! 操作思路:禁止所有用户访问1433端口,只允许个别IP访问.(安全策略里面允许的优先级大于

  • windows服务器修改远程登录的端口以及防火墙配置

    windows服务器修改远程登录的端口以及防火墙配置

    目录 一.修改注册表 二.设置防火墙 三.使用2121端口测试 配置环境:Windows Server Enterprise 2008 R2 64bit 一.修改注册表 进入注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]其下的”PortNumber”键值所对应的就是端口号,此处设置为2121 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentC

  • PHP和XSS跨站攻击的防范

    其实这个话题很早就想说说了,发现国内不少PHP站点都有XSS漏洞.今天偶然看到PHP5的一个XSS漏洞,在此小结一下.顺便提醒,使用PHP5的朋友最好打下补丁,或者升级一下. 如果你不懂什么是XSS,可以看这里,或者这里(中文的也许会好懂一些). 国内不少论坛都存在跨站脚本漏洞,例如这里  有一个Google Hack+XSS的攻击例子,针对的是Discuz 4.0.0RC3.国外也很多这样的例子,甚至Google也出现过,不过在12月初时修正了.跨站攻击很容易就可以构造,而且非常隐蔽,不易被查

  • Win2003云服务器或VPS网站程序池调整设置技巧

    Win2003云服务器或VPS网站程序池调整设置技巧

     一.新建池 1. 登录云服务器--打开IIS管理器--应用程序池--新建(N)--应用程序池.如下图 2. [Apppool #2]是程序池名称可以自己更改,每个程序池的设置可以选择默认,或者将现有的一个池作为模版,然后点击确定.如下图 3. 右键[Apppool #1] 属性--[回收工作进程]设置一最好是大于等于90分钟.如下图 二.转移池 例把 host1x_1 这个池里的fdfdfd 网站,从host1x_1程序池转移到Apppool #1程序池中 1. 点击程序池host1x_1 看

  • PHP代码网站如何防范SQL注入漏洞攻击建议分享

    黑客通过SQL注入攻击可以拿到网站数据库的访问权限,之后他们就可以拿到网站数据库中所有的数据,恶意的黑客可以通过SQL注入功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉.做为网络开发者的你对这种黑客行为恨之入骨,当然也有必要了解一下SQL注入这种功能方式的原理并学会如何通过代码来保护自己的网站数据库.今天就通过PHP和MySQL数据库为例,分享一下我所了解的SQL注入攻击和一些简单的防范措施和一些如何避免SQL注入攻击的建议. 什么是SQL注入(SQL Injection)? 简单来说,SQ

  • 阿里云LNMP 云服务器重启后网站打不开解决方法

    今天升级了一下系统架构,把MySQL升级到5.5.30,Nginx升级到1.4.1,php升级到5.5.25,但是升级之后服务器挂掉了,于是我就用了回滚快照,让系统恢复到原来的状态(阿里云的回滚快照功能需要重启服务器),服务器回滚之后,数据都在,但是就是无法提供web服务,尝试了 iptables -F清除防火墙规则,但是网站仍旧打不开.通过ps -aux命令发现nginx没有启动,于是执行了 复制代码 代码如下: /usr/local/nginx/sbin/nginx 之后,服务器web服务果

  • Nginx服务器中为网站或目录添加认证密码的配置详解

    nginx可以为网站或目录甚至特定的文件设置密码认证.密码必须是crypt加密的.可以用apache的htpasswd来创建密码. 格式为: htpasswd -b -c site_pass username password site_pass为密码文件.放在同nginx配置文件同一目录下,当然你也可以放在其它目录下,那在nginx的配置文件中就要写明绝对地址或相对当前目录的地址. 如果你输入htpasswd命令提示没有找到命令时,你需要安装httpd.如果是centos可以执行如下来安装,

随机推荐