2.Web應(yīng)用程序漏洞
很多站長(zhǎng)為了減少開發(fā)成本,選擇了一些簡(jiǎn)單易用的開源或商業(yè)程序,比如最近漏洞層出不窮的dedecms,ecshop,phpcms等等,而這些程序因?yàn)榘踩陨系娜笔В恢背蔀榱撕诳团咳肭值淖罴涯繕?biāo)。
而這些漏洞往往都是SQL注入,命令執(zhí)行,文件上傳等可導(dǎo)致服務(wù)器權(quán)限被黑客獲取的高危漏洞。
從阿里云云盾安全中心的分析表現(xiàn),一些應(yīng)用程序安全性表現(xiàn)較差,幾乎成了漏勺,用戶選擇這些應(yīng)用程序的時(shí)候一定要小心。
因?yàn)殚_源程序的特性,黑客很容易獲取到程序源代碼,并從中分析出新的漏洞(0day),因此完全開源的程序其安全性并不能得到保障,但我們建議您一般需要使用最新版本的程序,因?yàn)樽钚碌陌姹疽话慵航?jīng)修復(fù)了己知的嚴(yán)重漏洞,同時(shí)您還需要關(guān)注這些程序發(fā)布的升級(jí)通知和安全補(bǔ)丁通知。
當(dāng)然,普通站長(zhǎng)并沒有這么多時(shí)間投入到安全維護(hù)上,也不是沒有一勞永逸的辦法,如果您的服務(wù)器位于阿里云上,我們建議您開啟阿里云云盾的WAF功能,開啟WAF后,所有針對(duì)您網(wǎng)站的WEB攻擊都能得到有效的防御,并且當(dāng)出現(xiàn)新的漏洞時(shí),云盾的安全人員會(huì)第一時(shí)間更新虛擬補(bǔ)丁應(yīng)對(duì)新的漏洞攻擊,確保您網(wǎng)站安全無虞。
3 .后門攻擊和配置漏洞
在安全的問題上不存在小事,因此在向服務(wù)器傳輸文件,部署應(yīng)用程序時(shí),很可能就在給服務(wù)器留下安全隱患。
目前互聯(lián)網(wǎng)上很多提供應(yīng)用程序下載和分發(fā)的站點(diǎn),普通的站長(zhǎng)經(jīng)常會(huì)不選擇在官網(wǎng)下載而是直接下載一些別人發(fā)布的應(yīng)用程序來使用,而這些非官網(wǎng)的應(yīng)用程序其實(shí)大部分都內(nèi)置了各種后門,當(dāng)您部署上去的時(shí)候己經(jīng)給黑客留下了秘密通道。
因此在您部署或遷移一個(gè)新的環(huán)境時(shí)請(qǐng)務(wù)必對(duì)您的應(yīng)用程序進(jìn)行一次整體的安全掃描,可以使用一些常用的殺毒軟件,比如(卡巴,趨勢(shì))等。
同樣嚴(yán)重的問題還發(fā)生在一些服務(wù)器配置上:
最典型的是FTP 匿名的問題,互聯(lián)網(wǎng)上有很多專門掃描FTP匿名的入侵機(jī)器人,我們經(jīng)常會(huì)發(fā)現(xiàn)一些用戶給自己的服務(wù)器開啟了FTP服務(wù),但因?yàn)榕渲貌划?dāng)把匿名訪問也開啟了,但最關(guān)鍵的是匿名的用戶也有可以寫入文件的權(quán)限,導(dǎo)致服務(wù)器最終被入侵。
FTP 匿名寫入的問題主要集中在以下幾種FTP 服務(wù)器上:
因?yàn)槿绻鸁o需匿名訪問請(qǐng)一定要關(guān)閉匿名訪問功能(如圖需將匿名去除),如果需要匿名訪問,請(qǐng)僅開啟只讀權(quán)限。
