服务器安全

那是你服务器有漏洞，才会被黑客登录，建议你抓紧做好网站服务器的安全。
安全这问题，很重要，我上次就是为了省钱，在网上搜索了一些服务器安全设置的文章，对着文章，我一个一个的设置起来，费了好几天的时间才设置完，没想到，服务器竟然瘫痪了，网站都打不开了，也最终明白了，免费的东西，也是最贵的，损失真的很大，数据库都给我回档了，我哪个后悔啊。娘个咪的。最后还是让机房把系统重装了，然后找的sine安全公司给做的网站服务器安全维护。跟他们还签了合同，真的是一份价格一份服务，专业的服务 安全非常稳定。也只有网站安全了，才能带来安全稳定的客户源。道理也是经历了才明白。说了这么多经历，希望能帮到更多和我一样的网站站长。
下面是关于网站安全方面的建议，希望能帮到楼主！
建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。
一：挂马预防措施：
1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。
2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！
序，只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。
4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!
10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
二：挂马恢复措施：
1修改帐号密码
不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。
2创建一个robotstxt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3修改后台文件
第一步：修改后台里的验证文件的名称。
第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。
第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。
4限制登陆后台IP
此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。
5自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛，可能会向不明来意者传送对方想要的信息。
6慎重选择网站程序
注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。
7谨慎上传漏洞
据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。
8 cookie 保护
登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9目录权限
请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10自我测试
如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。
11例行维护
a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。
b定期更改数据库的名字及管理员帐密。
c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。
网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。
网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。
您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

一、 *** 作系统的选择

FTP服务器首先是基于 *** 作系统而运作的，因而 *** 作系统本身的安全性就决定了FTP服务器安全性的级别。虽然Windows 98／Me一样可以架设FTP服务器，但由于其本身的安全性就不强，易受攻击，因而不要采用。Windows NT就像鸡肋，不用也罢。采用Windows 2000及以上版本，并记住及时打上补丁。至于Unix、Linux，则不在讨论之列。

二、使用防火墙

端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口，将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多，可以使用第三方的个人防火墙，如天网个人防火墙等，这里只介绍Windows自带的防火墙设置方法。

1。利用TCP／IP筛选功能

在Windows 2000和Windows XP中，系统都带有TCP／IP筛选功能，利用它可以简单地进行端口设置。以Windows XP为例，打开“本地连接”的属性，在“常规”选项中找到“Internet协议（TCP／IP）”，双击它打开该协议的属性设置窗口。点击右下方的“高级”按钮，进入“高级TCP／IP设置”。在“选项”中选中“TCP／IP筛选”并双击进入其属性设置。这里我们可以设置系统只允许开放的端口，假如架设的FTP服务器端口为21，先选中“启用TCP／IP筛选（所有适配器）”，再在TCP端口选项中选择“只允许”，点“添加”，输入端口号21，确定即可。这样，系统就只允许打开21端口。要开放其他端口，继续添加即可。这可以有效防止最常见的139端口入侵。缺点是功能过于简单，只能设置允许开放的端口，不能自定义要关闭的端口。如果你有大量端口要开放，就得一个个地去手工添加，比较麻烦。

2。打开Internet连接防火墙

对于Windows XP系统，自带了“Internet连接防火墙”功能，与TCP／IP筛选功能相比，设置更方便，功能更强大。除了自带防火墙端口开放规则外，还可以自行增删。在控制面板中打开“网络连接”，右击拨号连接，进入“高级”选项卡，选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”，启用它。系统默认状态下是关闭了FTP端口的，因而还要设置防火墙，打开所使用的FTP端口。点击右下角的“设置”按钮进入“高级设置”，选中“FTP服务器”，我它。由于FTP服务默认端口是21，因而除了IP地址一栏外，其余均不可更改。在IP地址一栏中填入服务器公网IP，确定后退出即可即时生效。如果架设的FTP服务器端口为其他端口，比如22，则可以在“服务”选项卡下方点“添加”，输入服务器名称和公网IP后，将外部端口号和内部端口号均填入22即可。

三、对IIS、Serv－U等服务器软件进行设置

除了依靠系统提供的安全措施外，就需要利用FTP服务器端软件本身的设置来提高整个服务器的安全了。

1。IIS的安全性设置

1）及时安装新补丁

对于IIS的安全性漏洞，可以说是“有口皆碑”了，平均每两三个月就要出一两个漏洞。所幸的是，微软会根据新发现的漏洞提供相应的补丁，这就需要你不断更新，安装最新补丁。

2）将安装目录设置到非系统盘，关闭不需要的服务

一些恶意用户可以通过IIS的溢出漏洞获得对系统的访问权。把IIS安放在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区。另外，由于IIS是一个综合性服务组件，每开设一个服务都将会降低整个服务的安全性，因而，对不需要的服务尽量不要安装或启动。

3）只允许匿名连接

FTP的安全漏洞在于其默认传输密码的过程是明文传送，很容易被人嗅探到。而IIS又是基于Windows用户账户进行管理的，因而很容易泄漏系统账户名及密码，如果该账户拥有一定管理权限，则更会影响到整个系统的安全。设置为“只允许匿名连接”，可以免却传输过程中泄密的危险。进入“默认FTP站点”，在属性的“安全账户”选项卡中，将此选项选中。

4）谨慎设置主目录及其权限

IIS可以将FTP站点主目录设为局域网中另一台计算机的共享目录，但在局域网中，共享目录很容易招致其他计算机感染的病毒攻击，严重时甚至会造成整个局域网瘫痪，不到万不得已，使用本地目录并将主目录设为NTFS格式的非系统分区中。这样，在对目录的权限设置时，可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录，进入“共享和安全→安全”中设置，如非必要，不要授予“写入”权限。

5）尽量不要使用默认端口号21

启用日志记录，以备出现异常情况时查询原因。

2。Serv－U的安全性设置

与IIS的FTP服务相比，Serv－U在安全性方面做得比较好。

1）对“本地服务器”进行设置

首先，选中“拦截FTP＿bounce攻击和FXP”。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个“PORT”命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

其次，在“高级”选项卡中，检查“加密密码”和“启用安全”是否被选中，如果没有，选择它们。“加密密码”使用单向hash函数（MD5）加密用户口令，加密后的口令保存在ServUDaemon。ini或是注册表中。如果不选择此项，用户口令将以明文形式保存在文件中：“启用安全”将启动Serv－U服务器的安全成功。

2）对域中的服务器进行设置

前面说过，FTP默认为明文传送密码，

容易被人嗅探，对于只拥有一般权限的账户，危险并不大，但如果该账户拥有远程管理尤其是系统管理员权限，则整个服务器都会被别人远程控制。Serv－U对每个账户的密码都提供了以下三种安全类型：规则密码、OTP S／KEY MD4和OTP S／KEY MD5。不同的类型对传输的加密方式也不同，以规则密码安全性最低。进入拥有一定管理权限的账户的设置中，在“常规”选项卡的下方找到“密码类型”下拉列表框，选中第二或第三种类型，保存即可。注意，当用户凭此账户登录服务器时，需要FTP客户端软件支持此密码类型，如CuteFTP Pro等，输入密码时选择相应的密码类型方可通过服务器验证。

与IIS一样，还要谨慎设置主目录及其权限，凡是没必要赋予写入等能修改服务器文件或目录权限的，尽量不要赋予。最后，进入“设置”，在“日志”选项卡中将“启用记录到文件”选中，并设置好日志文件名及保存路径、记录参数等，以方便随时查询服务器异常原因。

FTP是一种文件传输协议。有时我们把他形象的叫做“文件交流集中地”。FTP文件服务器的主要用途就是提供文件存储的空间，让用户可以上传或者下载所需要的文件。在企业中，往往会给客户提供一个特定的FTP空间，以方便跟可以进行一些大型文件的交流，如大到几百兆的设计图纸等等。同时，FTP还可以作为企业文件的备份服务器，如把数据库等关键应用在FTP服务器上实现异地备份等等。
可见，FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大，所以，很多黑客、病毒也开始“关注”他了。他们企图通过FTP服务器为跳板，作为他们传播木马、病毒的源头。同时，由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下，FTP服务器也就成为了别人攻击的对象。
所以，FTP服务器的安全性工作也逐渐显得重要。笔者采用的FTP服务器是基于Linxu *** 作系统平台上的Vsftpd软件。笔者今天就以这个软件为例，谈谈如何若照FTP服务器的安全设计。
一、谁可以访问FTP服务器？
在考虑FTP服务器安全性工作的时候，第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中，默认提供了三类用户。不同的用户对应着不同的权限与 *** 作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候，其默认的主目录就是其帐号命名的目录。但是，其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中，我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是，这个账户有个特点，就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户，在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户，只能够访问其主目录下的目录，而不得访问主目录以外的文件。
第三类帐户是Anonymous（匿名）用户，这也是我们通常所说的匿名访问。这类用户是指在FTP服务器中没有指定帐户，但是其仍然可以进行匿名访问某些公开的资源。
在组建FTP服务器的时候，我们就需要根据用户的类型，对用户进行归类。默认情况下，Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是，这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录，而且，还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以，企业要根据实际情况，修改用户虽在的类别。
修改方法：
第一步：修改/etc/Vsftpd/vsftpdconf文件。
默认情况下，只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候，就需要把这个选项启用。修改/etc/Vsftpd/vsftpdconf文件，把其中的“chroot_list_enable=YES”这项前面的注释符号去掉。去掉之后，系统就会自动启用Real类型的帐户。
第二步：修改/etc/vsftpdconf文件。
若要把某个FTP服务器的帐户归属为Guest帐户，则就需要在这个文件中添加用户。通常情况下，FTP服务器上没有这个文件，需要用户手工的创建。利用VI命令创建这个文件之后，就可以把已经建立的FTP帐户加入到这个文件中。如此的话，某个帐户就属于Real类型的用户了。他们登录到FTP服务器后，只能够访问自己的主目录，而不能够更改主目录。
第三步：重新启动FTP服务器。
按照上述步骤配置完成后，需要重新启动FTP服务器，其配置才能够生效。我们可以重新启动服务器，也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候，笔者有几个善意的提醒。
一是尽量采用Guest类型的用户，而减少Real类行的用户。一般我们在建立FTP帐户的时候，用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时，会对其他用户文件的安全产生威胁。
二是尽量不要采用匿名类型的帐户。因为他们在没有授权的情况下，就可以访问FTP服务器。虽然其访问的资源受到一定的限制，但是，仍然具有危险性。故在没有特殊需要的情况下，把匿名类型帐户禁用掉。
二、哪些帐号不可以访问FTP服务器？
在以下几种情况下，我们要禁止这些账户访问FTP服务器，以提高服务器的安全。
一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户，其对系统具有的 *** 作与管理权限。若允许用户以这个账户为账户名进行登陆的话，则用户不但可以访问Linux系统的所有资源，而且，还好可以进行系统配置。这对于FTP服务器来说，显然危害很大。所以，往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。
第二类是一些临时账户。有时候我们出于临时需要，为开一些临时账户。如需要跟某个客户进行图纸上的交流，而图纸本身又比较大时，FTP服务器就是一个很好的图纸中转工具。在这种情况下，就需要为客户设立一个临时账户。这些账户用完之后，一般就加入到了黑名单。等到下次需要再次用到的时候，再启用他。
在vstftpd服务器中，要把某些用户加入到黑名单，也非常的简单。在Vsftpd软件中，有一个/etc/vsftpduser_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件，通常情况下，一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后，往往不需要重新启动FTP服务，配置就会生效。
不过，一般情况下，不会影响当前会话。也就是说，管理员在管理FTP服务器的时候，发现有一个非法账户登陆到了FTP服务器。此时，管理员马上把这个账户拉入黑名单。但是，因为这个账户已经连接到FTP服务器上，所以，其当前的会话不会受到影响。当其退出当前会话，下次再进行连接的时候，就不允许其登陆FTP服务器了。所以，若要及时的把该账户禁用掉的话，就需要在设置好黑名单后，手工的关掉当前的会话。
对于一些以后不再需要使用的帐户时，管理员不需要把他加入黑名单，而是直接删除用户为好。同时，在删除用户的时候，要记得把用户对应的主目录也一并删除。不然主目录越来越多，会增加管理员管理的工作量。在黑名单中，只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量，而且，还可以提高FTP服务器的安全性。
三、匿名账户也可以上传文件
在系统默认配置下，匿名类型的用户只可以下载文件，而不能够上传文件。虽然这不是我们推荐的配置，但是，有时候出于一些特殊的需要，确实要开启这个功能。如笔者以前在企业中，利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便，就在FTP服务器上开启了匿名访问，并且允许匿名访问账户网某个特定的文件夹中上传某个文件。
若要让匿名用户上传文件，则首先要建立一个目录，并且把这个目录指定为匿名用户具有更新的权限。以后匿名用户需要上传文件的时候，只能够王这个文件夹中传。而不能够像Real用户那样，网其他用户的文件夹中上传文件。
文件目录设置好之后，再修改/etc/vsftpd/vsftpdconf配置文件。把这个文件下的有关匿名账户的功能启用。默认情况下，跟匿名账户相关的功能，如更新、增加目录等功能都是被注释掉的。管理员需要把这个注释符号去掉，匿名账户才能够网特定的账户中上传文件。
笔者再次重申一遍，一般情况下，是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中，不含有一些破坏性的程序，如病毒或者木马等等。有时候，虽然开启了这个功能，但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件，其他账户则不行。如此的话，可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户，就可以在外网中登陆到FTP服务器上。
总之，在FTP服务器安全管理上，主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件；二是用户不得访问未经授权的目录，以及对这些目录的文件进行更改，包括删除与上传；三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容，都可以通过上面的三个方法有效的解决。相信管理员灵活采用如上的方法，可以在保障企业应用的前期下，提高FTP服务器的安全性。

1、服务器初始安全防护

安装服务器时，要选择绿色安全版的防护软件，以防有被入侵的可能性。对网站提供服务的服务器，软件防火墙的安全设置最高，防火墙只要开放服务器端口，其他的一律都关闭，你要访问网站时防火墙会提示您是否允许访问，在根据实际情况添加允许访问列表。这样至少给系统多一份安全。

2、修改服务器远程端口。

因为有不少不法分子经常扫描公网IP端口，如果使用默认的3389或者Linux的22端口，相对来说是不安全的，建议修改掉默认远程端口。

3、设置复杂密码。

一但服务器IP被扫描出来默认端口，非法分子就会对服务器进行暴力破解，利用第三方字典生成的密码来尝试破解服务器密码，如果您的密码足够复杂，非法分子就需要大量的时间来进行密码尝试，也许在密码未破解完成，服务器就已经进入保护模式，不允许登陆。

4、修补已知的漏洞

如果网站出现漏洞时不及时处理，网站就会出现一系列的安全隐患，这使得服务器很容易受到病毒入侵，导致网络瘫痪，所以，平时要养成良好的习惯，时刻关注是否有新的需修补的漏洞。

5、多服务器保护

一个网站可以有多个服务器，网站被攻击时，那么我们就可以选择不一样的方式进行防范，针对不同的服务器，我们应该设置不同的管理，这样即使一个服务器被攻陷，其他的服务还可以正常使用。

6、防火墙技术

现在防火墙发展已经很成熟了，防火墙可以选择安全性检验强的，检验的时间会较长，运行的过程会有很大负担。如果选择防护性低的，那么检验时间会比较短。我们在选择防护墙时，要根据网络服务器自身的特点选择合适的防火墙技术。

7、定时为数据进行备份。

定时为数据做好备份，即使服务器被破解，数据被破坏，或者系统出现故障崩溃，你只需要进行重装系统，还原数据即可，不用担心数据彻底丢失或损坏。

做好网站服务器的安全维护是一项非常重要的工作，只有做好了服务器安全工作，才能保证网站可以稳定运营。要想做好网站服务器安全维护，还要学习更多的维护技巧。

服务器要保证数据安全，首先要勤打补丁，windows系统是通过高手的不断应用发现漏洞的，补丁就是补漏洞；其次要安装正规的杀毒软件，一定要服务器版的杀毒软件并保证杀毒软件病毒库样本更新到最新，这样一般的渗入网络攻击就可以防范，第三，根绝服务器的用途，封锁一些不常用的端口，使外部攻击无门可入；第四，安装网络看门狗，监控一些常用的端口，设置一些安全的策略；最主要的一点是第五要加强服务器用户的培训教育，防范内鬼，我们知道，防火墙是防范外部的攻击，防水墙才是防范内鬼的。完善服务器日志，加强对服务器资源的审计。服务器安全是一项长期的工作，不可能是一劳永逸的。

---