怎樣防止網(wǎng)站被人入侵
　　現(xiàn)在的黑客網(wǎng)站可謂是多如牛毛，不管在哪里只要你愿意學(xué)，都可以學(xué)到一招半式?？催^(guò)別人的個(gè)性簽名:賣(mài)菜的王大媽是黑客，烤紅薯的李大爺也是黑客，對(duì)面ChengRen用品店的老板，挖日，還是黑客-_-~!...黑客還真多啊!!!據(jù)不完全統(tǒng)計(jì)，每天都有至少成千上萬(wàn)的網(wǎng)站被入侵篡改。有次在某群里聊天,一個(gè)高中生為了找到一個(gè)邂逅的女生的資料，入侵當(dāng)?shù)氐拿裾值膬?nèi)網(wǎng)服務(wù)器查看信息。nb吧。過(guò)程估計(jì)是相當(dāng)?shù)木?。正所謂只要有電腦的地方,就會(huì)有江湖。被黑總是有理由的……歡迎大家到站長(zhǎng)防黑網(wǎng)來(lái)交流。
　　網(wǎng)站如何防黑?
　　我們從做站開(kāi)始講起。首先選好服務(wù)器這個(gè)是很重要的。因?yàn)榧词鼓愕木W(wǎng)站程序再安全，服務(wù)器被攻破了，你的網(wǎng)站就淪為玩物了。也許在朋友們的眼里有個(gè)想法是安全的服務(wù)器會(huì)更貴吧。其實(shí)不然，資金的投入只能說(shuō)是軟硬件的加強(qiáng)，讓網(wǎng)速或者負(fù)荷能力有所提高。但服務(wù)器的安全是可以人為配置的，只要網(wǎng)管的設(shè)置恰當(dāng)，就能讓服務(wù)器安全很多。在以前的一些實(shí)踐當(dāng)中發(fā)現(xiàn)很多GVM學(xué)校的設(shè)置得都比較欠佳。仿佛是架上了iis只要能瀏覽網(wǎng)站就算完工。以前聽(tīng)一個(gè)朋友說(shuō)GVM學(xué)校的網(wǎng)站，只要拿到一個(gè)webshell，基本上服務(wù)器就可以拿下了。這句話可以說(shuō)明個(gè)現(xiàn)象，很多學(xué)校GVM的網(wǎng)站管理員明顯不夠重視網(wǎng)站安全。雖然你網(wǎng)站只是發(fā)布點(diǎn)新聞文章而已，但是被攻擊者入侵，那他的目標(biāo)就不一定是單純的網(wǎng)站了，而是架起了一座通往內(nèi)網(wǎng)服務(wù)器的一座橋梁。再來(lái)談?wù)勎覀儌€(gè)人網(wǎng)站。個(gè)人網(wǎng)站由于資金方面的考慮，也基本上都是托管在虛擬服務(wù)器上的比較多。服務(wù)器的安全我們個(gè)人站長(zhǎng)也做不了什么工作，所以選擇一個(gè)好點(diǎn)，安全的網(wǎng)站空間是很有必要的。同樣是虛擬主機(jī)，我遇到過(guò)的還是有比較安全的。杜絕了一些常見(jiàn)因?yàn)榈哪夸洐?quán)限配置不當(dāng)泄露信息的安全隱患。至少不會(huì)被那些亂掛黑頁(yè)的"黑客"隨便鼓搗。如果大家再選擇服務(wù)器的時(shí)候需要幫忙的話。我會(huì)免費(fèi)為大家友情提供幫助的,并提供參考意見(jiàn)。關(guān)于服務(wù)器的安全配置，我們后面再寫(xiě)詳細(xì)的文章。
　　再來(lái)談做網(wǎng)站的過(guò)程。再此之前我們來(lái)了解下一些常用的攻擊手段。
　　1.危險(xiǎn)性的上傳漏洞
　　這個(gè)也要分三類(lèi):
　　一類(lèi)是上傳的地方無(wú)任何身份驗(yàn)證，而且可以直接上傳木馬。
　　一類(lèi)是只是注冊(cè)一個(gè)賬戶就可以上傳的，然后上傳的地方也沒(méi)有做好過(guò)濾。
　　一類(lèi)是管理員后臺(tái)的認(rèn)證上傳的。
　　當(dāng)然有的上傳可以直接上傳腳本木馬，有的經(jīng)過(guò)一定的處理后才可以上傳腳本木馬。無(wú)論怎樣這是很多攻擊者都是通過(guò)上傳拿下網(wǎng)站的權(quán)限。
　　2.注入漏洞
　　各種腳本的注入漏洞利用方法跟權(quán)限都有所差異。危險(xiǎn)的可以直接威脅到服務(wù)器系統(tǒng)權(quán)限。普通的注入可以爆出數(shù)據(jù)庫(kù)里面的賬戶信息。從而得到管理員的密碼或其他有利用的資料。如果權(quán)限高點(diǎn)可以直接寫(xiě)入webshell，讀取服務(wù)器的目錄文件，或者直接加管理賬戶，執(zhí)行替換服務(wù)等等攻擊。
　　3.中轉(zhuǎn)注入，也叫cookie中轉(zhuǎn)注入
　　本來(lái)這個(gè)要?dú)w于樓上那一類(lèi)，但是我單自列出來(lái)了。有些程序本身或者外加的防注入程序都只是過(guò)濾了對(duì)參數(shù)的post或者get。而忽略了cookie。所以攻擊者只要中轉(zhuǎn)一下同樣可以達(dá)到注入的目的。
　　4.數(shù)據(jù)庫(kù)寫(xiě)入木馬
　　也就是以前可能有些程序員認(rèn)為mdb的數(shù)據(jù)庫(kù)容易被下載，就換成asp或者asa的。但是沒(méi)有想到這么一換，帶來(lái)了更大的安全隱患。這兩種格式都可以用迅雷下載到本地的。更可怕的是，攻擊者可以一些途徑提交一句話木馬，插入到數(shù)據(jù)庫(kù)來(lái)，然后用工具連接就獲得權(quán)限了。
　　5.數(shù)據(jù)庫(kù)備份
　　這其實(shí)是很多網(wǎng)站后臺(tái)的一個(gè)功能，本意是讓各位管理員備份數(shù)據(jù)庫(kù)。但是攻擊者通過(guò)這個(gè)來(lái)把自己上傳帶后門(mén)的圖片木馬的格式改成真正的木馬格式。從而得到權(quán)限。記得之前有個(gè)網(wǎng)站系統(tǒng)數(shù)據(jù)庫(kù)備份的那個(gè)頁(yè)面沒(méi)有管理認(rèn)證，那危害就更大了。有的網(wǎng)站數(shù)據(jù)庫(kù)備份雖然有限制，但是還是被某些特殊情況突破了。比如攻擊者可以備份的格式有，asp，asa，cer，htr，cdx，php，jsp，aspx，ashx，
　　asmx還有幾個(gè)iis6.0環(huán)境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg這類(lèi)的,很多程序員編寫(xiě)的asp程序只過(guò)濾解析asp的格式，忽略了php等其他的解析。還有就是備份目錄的文件夾名為tjseotv.asp tjseotv.asa這種解析。如果以上的都用不了，攻擊者還可能網(wǎng)站目錄下的conn.asp文件備份成tjseotv.txt來(lái)查看數(shù)據(jù)庫(kù)路徑，也許會(huì)用的數(shù)據(jù)庫(kù)寫(xiě)入木馬的手段。當(dāng)然攻擊的方法是我們列舉不完的。只有通過(guò)大家的交流，了解更多。
　　6.管理賬戶密碼的泄露
　　也許大家會(huì)說(shuō)上面那一種攻擊手段需要在有管理賬戶的前提下完成。這里我就講下一些常見(jiàn)的管理賬戶密碼的泄露。
　　第一:萬(wàn)能密碼'or'='or'。還有其他更多的寫(xiě)法。這個(gè)的原理大家可以在我網(wǎng)站里搜索下。就是把這個(gè)當(dāng)著管理員的賬戶密碼就可以直接進(jìn)入后臺(tái)?，F(xiàn)在還有很多網(wǎng)站仍然能進(jìn)。
　　第二:弱口令。比如你的密碼是admin/admin888/123456/5201314等。這樣很容易被猜到。
　　第三:默認(rèn)密碼。這里分默認(rèn)的后臺(tái)密碼與默認(rèn)的后臺(tái)數(shù)據(jù)庫(kù)。假如攻擊者知道了你網(wǎng)站是哪一套源碼搭建的，就會(huì)去下一套相同的源碼來(lái)看默認(rèn)的數(shù)據(jù)庫(kù)是否能下載，后臺(tái)密碼是否仍未更改。
　　第四:站長(zhǎng)個(gè)人通用密碼。很多人就是在網(wǎng)絡(luò)上只用一個(gè)密碼。不管是哪個(gè)環(huán)節(jié)你的密碼被泄露，攻擊者可能用這個(gè)密碼去測(cè)試你的網(wǎng)站后臺(tái)，你的郵箱，你的QQ號(hào)，你的ftp，你在其他地方注冊(cè)的賬戶。。。這個(gè)問(wèn)題有點(diǎn)嚴(yán)重，涉及到社會(huì)工程學(xué)這一塊。
      7.編輯器
　　兩大主力編輯器ewebeditor和fckeditor。ewebeditor低版本的確是是存在漏洞，可以構(gòu)造代碼直接上傳木馬。但是高版本現(xiàn)在市場(chǎng)上的還沒(méi)有說(shuō)有什么漏洞。但是最邪惡的卻是大家用的時(shí)候忘記該ewebeditor的后臺(tái)密碼和數(shù)據(jù)庫(kù)路徑，從而導(dǎo)致網(wǎng)站被入侵。fckeditor有些修改版的可以直接上傳的木馬。但自從";"漏洞出現(xiàn)后,入侵者就比較瘋狂了,有的版本傳一次不成功，還要再傳一次就成功了。很多大網(wǎng)站就被牽連。
　　8.ftp弱口令
　　上面講過(guò)了，有可能你用了通用密碼。還有就是弱口令。比如你的網(wǎng)站是seo。那么攻擊者可能把seoadmin作為用戶名(事實(shí)證明很多虛擬主機(jī)都是這樣配置的),然后生成一系列的弱口令，比如seo123/seo123456/seo888/seo520/123456/888888/seo.cn/seoftp等等，因?yàn)榭梢杂孟嚓P(guān)的工具來(lái)掃描，所有他可以生成很多一般人都用的密碼來(lái)試探你的ftp密碼?？茖W(xué)研究證明這個(gè)方法危害性也比較大。
　　9.0day
　　現(xiàn)在很多人用一些主流的程序。比如動(dòng)網(wǎng)，discuz論壇，phpwind，動(dòng)易，新云等等這些用戶量很多源碼，也會(huì)時(shí)不時(shí)的給大家?guī)?lái)"驚喜"，對(duì)于這個(gè)大家請(qǐng)多關(guān)注站長(zhǎng)防黑網(wǎng)最新程序漏洞的文章。盡快為程序打上補(bǔ)丁。
　　10.旁站。就是拿下與你同一服務(wù)器上的其他網(wǎng)站，然后在通過(guò)一些xx手段，得到更多的信息。如果權(quán)限夠大，直接扔個(gè)木馬到你目錄;如果權(quán)限一般，扔木馬扔不進(jìn)去，就讀你管理員密碼，或者其他敏感信息，進(jìn)一步入侵;如果權(quán)限比較差一點(diǎn)，攻擊者會(huì)嘗試嗅探。
　　11.還有一些不能忽略的。暴庫(kù)，列目錄，任意下載漏洞，包含文件漏洞，iis寫(xiě)入漏洞，cookie欺騙，跨站xss等等很多很多。大家有興趣的可以在我的網(wǎng)站搜索了解下這些名詞及方法。
　　好了，這些基本的方法都說(shuō)完了，如果遇見(jiàn)高手覺(jué)得還沒(méi)有說(shuō)完的，歡迎發(fā)我郵箱。我們了解了這些攻擊的手段。然后可以針對(duì)各個(gè)擊破。確保自己的網(wǎng)站安全。比如常用的后臺(tái)是admin.manage.system我們可以改成不常見(jiàn)不會(huì)被猜到的，也別再程序上面寫(xiě)什么后臺(tái)登陸的鏈接。選擇程序的時(shí)候，通過(guò)百度谷歌查看是否有漏洞,是否為最新版。如果你還愛(ài)護(hù)你的網(wǎng)站，你可以根據(jù)上面羅列的一些方法對(duì)自己的網(wǎng)站進(jìn)行測(cè)試，防患于未然。不要等到黑頁(yè)高高掛起的時(shí)候再心疼。