网站服务器不容忽视的安全防御

《网站服务器不容忽视的安全防御》由会员分享，可在线阅读，更多相关《网站服务器不容忽视的安全防御（2页珍藏版）》请在金锄头文库上搜索。

1、网站服务器不容忽视的安全防御： 一、不要使用缺省的 WEB 站点 在 IIS Web 服务器安装部署完成之后，系统会建立一个默认的 Web 站点。有些用户就会直 接使用这个站点进行网站的开发。这是一个非常不理智的做法，可能会带来很大的安全隐 患 。因为很多攻击都是针对默认的 Web 站点所展开的。 如在默认的 Web 站点中，有一个 inetpub 文件夹。有些攻击者喜欢在这个文件夹中放置一 些黑客工具，如窃取密码、Dos 攻击等等。从而使得 可以远程遥控这些工具，造成服务器 的 瘫痪。由于默认的站点与文件夹的相关配置信息基本上是相同的，这就方便了攻击者对服 务器进行工具。连信息搜集这一 个步

2、骤都可以省了。一些通过 IP 地址与服务扫描的黑客 工 具，其使用的就是默认站点这个空子。 防范措施： 其实这一个风险还是很容易避免的。最简单的方法就是在建立网站的时候，不要使用这个 默认的站点。而且需要将这个站点禁用掉。其实这个方法是一个 最基本的安全措施。如在 路由器等网络设备上，出于安全需要，也要求管理员禁用掉默认的用户名。这是同样的道 理。然后也不要使用原有的文件夹。用户可以将真 实的 Web 站点指向一个特定的位置。 如果要进一步提高安全性的话，还可以对这个文件夹设置 NTFS 权限等措施。可见要预防 这个安全风险是轻而易举的事情。但是现实中，可能用户就是觉得其小，而没有引起足够 的

3、重视。从而给攻击者有机可乘。 二、严格控制服务器的写访问权限 在一些内容比较多、结构比较复杂的 Web 服务器，往往多个用户都对服务器具有写入的权 限。如 sina 网站，有专门人员负责新闻板块，有专门人员 负责博客，有专门人员负责论 坛 等等。由于有众多的用户对网站服务器具有写入的权限，就可能会带来一定的安全隐患。 如某个用户的密码泄露的话，就会乘机对服 务器进行破坏。其实虽然都具有对服务器的写 入权限，但是的分工是不同的。每个人都有自己的领域。 再如一个大学校园的校园网，一个 Web 服务器实际上可能拥有多个网站，多个管理员。如 各个学院有自己的网站等等。此时管理员都有对服务器修改的权限。

4、权限控制不严格的话，那么服务器上的文件夹就可能会处于非常危险的境地。 防范措施: 这个防范措施也比较简单，其基本的原理就是给与用户最小的权限。如可以根据网站板块 的不同，将相关的内容放置到对应的文件夹中。然后每个特定的 用户只能够访问自己负责 内容的文件夹。如此的话，即使某个管理员用户的密码泄露了，那么其影响的也只是一个 文件夹。而不会对其他用户的文件夹产生不利影响。 其次就是最好不要讲 Web 服务器同其他的应用服务放置在一起。特别对于企业来说，可能 为了节省成本，喜欢将 Web 服务器与文件服务器等部署在同 一个服务器上。这是一种非 常危险的方式。因为对于文件服务器来说，可能每个用户都具有

5、往服务器上写入的权限。 而这就会给木马、病毒等提供机会。从而也会影 响到 Web 服务器的安全。 总之管理员需要严格限制 Web 服务器的写入权限。在分配用户权限的时候，如果要给用户 写的权限，那么最好能够结合 NTFS 权限管理，只提供用户特定文件夹的写入权限。其次 就是最好将 Web 服务器同文件服务器等分开，争取只有少量的用户具有对服务器写入的权限。 三、不定时的检查服务器上的 bat 与 exe 文件 大部分攻击者都系统使用 bat 或者 exe 文件来进行攻击。如有些攻击者会利用操作系统的 任务管理器。让系统每天或者每隔一段固定的时间调用某个 程序。这些程序就是以 bat 或 者 e

6、xe 结尾的，或则是以 reg 文件结尾的。这些文件具有非常大的破坏性。如黑客可以利用这 些文件更改注册表、建立隐形帐 户、发送文件给黑客等等。 防范措施: 有时候即使管理员采用了病毒防火墙等措施，或者每天对服务器进行杀毒，也很难找到这 些文件。此时管理员可以采用一个比较原始的方法，就是通过扩 展名来搜索这些文件。然 后查看是否有可疑的。笔者的做法是，Web 服务器部署完成之后，先利用扩展名 exe、bat、reg 等作为查找条件，查找相关的文 件。然后将文件名存放到一个表格中。以 后每天或者 每周再查找一次，然后跟原有的表格进行对比，看看是否增加了一些文件。如果有增加的 话，那么这些增加的文

7、 件就可能是问题文件。用户可以使用记事本(注意千万不能够直接 双击打开)这些文件，看看其代码。或者直接将这些文件删除掉，免除后患。 四、对于 IIS 目录采用严格的访问策略 IIS 目录是 Web 服务器中很重要的一个目录。其相当于人的大脑，控制着 Web 服务器的运 行。为此在规划 Web 服务器安全的时候，要对此进行特 别的关注。不过在实际工作中， 这个目录却没有引起用户的足够高的关注。有些甚至直接使用系统的默认设置，也没有进 行后续的追踪。这都有可能成为以后网 站被黑、服务器瘫痪的起因。 防范措施: 对于 IIS 目录的安全，笔者认为至少需要做到两点。一是需要对 IP 地址、子网、域名等

8、加 以限制。如根据追踪发现某个不知名的 IP 地址经常 ping Web 服务器，此时就需要及时的 将 这个 IP 地址拉入黑名单，禁止其访问 IIS 目录，比如:http:/。二是需要做 好追踪、分析工作。管理员可以使用一些软件来记录用户对 IIS 目录的访问。如是否有用 户试图越权访问其没有权限的目录等等。限制与事后追踪，对于 IIS 目录的安全来说，是 两把保护伞，一把都不能够缺。 五、做好服务器的升级工作 如果在服务器上只部署了一个 Web 服务，那么笔者建议在第一时间对操作系统与 IIS 服务 器进行升级。通过给系统与服务打补丁，是提高 Web 服务 器安全的最好方法之一。毕竟 现在

9、 很多的黑客其攻击都是停留在对现有漏洞的攻击。如果将这些已经发现的漏洞补上，那么 遭受到攻击的可能性就会小许多。 不过在升级的过程中需要注意。如果在 Web 服务器上还有第三方的服务或者非微软的产品， 那么在升级之前需要先进行测试。判断操作系统与 IIS 服务最新的补丁是否跟现有的其他 服务与产品相互冲突。虽然这个冲突的几率还是比较少的，但是这个测试的工作不可缺。 六、禁用不需要的服务 IIS 服务器部署完成之后，其可能还会同时装有其他的应用服务。如 FTP、SMTP 等等。这 些服务都带有比较大的安全隐患。如 FTP 本身就是被 设计满足简单的读写访问。如果在 Web 服务器上采取了比较严格的安全措施。但是在 FTP 服务上没有。则攻击者就可以先利 用 FTP 服务器下载一些黑客的工 具。然后再借助这些工具从内部发起对 Web 服务器的攻 击。此时攻击成功率就会高许多。所以如果某些服务不需要的话，需要在第一时间禁用它。宁可以后有需要的时候 i，再花时 间打开。每个服务都好像房间的门。如果将不需要的门堵死，那么安全工作就会好做许多 。因为需要关注的“门”的数量大大减少了。