您的位置: 首页  常见问题

保护您的网站

发布日期:2012-10-18   浏览次数

逢节逢活动,在大伙儿庆祝或忙碌的同时,总有不怀好意的人趁机溜到您的后院偷您的菜,或者,放些木马什么。待回神之后一看,计算机、服务器这些顽劣的匣子,变得乖戾不听使唤,页面又打不开了,网站在百度里变成了六合彩,文件夹里多了几个清除不掉的文件。就这样,一天的心情算是完了,焦头烂额,心急火燎。而我,无辜地坐在办公室里时,突然看到手机显示您打来的电话,也感到六神不定。

 

如何保护我们的网站呢?我们又不是网站的开发者,也不了解它,怎么能够让我们的网站更加安全呢?

 

首先,增加对它的了解吧。登录FTP或其他别的手段,先仔细看看自己网站的文件夹,在一个网站里,往往有很多文件夹和文件。这里不同的子文件夹又叫路径,对应您网站“/”后面的不同路径。文件里的网站页面文件,大致分为动态页面和静态页面两种。静态页面往往是htm或者html格式的,它里面基本没有脚本,就算有脚本也是客户端执行不用服务器执行的;动态页面是asp,jsp,aspx,php,asa等格式的,它们里面有脚本。

文件里还有您这个网站上传上来的文件,它们可能是rar,doc,xls,ppt,pps格式的,还有网站的图片和flash,它们可能是jpg,gif,jpeg,swf等格式的。一般地说,非上传下载的文件夹内,网站里面应该是不存在exe格式的,您要是发现了可要小心;您要是发现一个文件的后缀是“.asp;.jpg”,您可以不要单纯地猜想这是个双格式文件,世上没有这么可爱的格式,您面对的是一个黑客放上来的针对IIS解析漏洞的木马!

 

接下来,让我们再注意点细节,网站的架构和文件的时间,一般地说,网站的根目录下往往会有一个index.asp或者index.html再或者default.asp之类的,这是网站的默认首页,除非网站的架构有这方面的需求,否则这个默认首页应该是不改变的。这意味着这个文件的修改时间应该是亘古久远的和这个网站的出生日期差不多,如果这个文件的时间改变了,您要小心地看看文件的下面有没有六合彩等的挂马了。

网站的数据库有好几种实现方式,如果是access的数据库,那么它应该存在在网站根目录下一个叫和“data”有关的文件夹里,它一般是一个.mdb格式的文件,但是因为以前IIS.mdb下载的漏洞,所以很多网站都把这个文件名字改为.asp或者.asa或者其他后缀,数据库的名字往往比较复杂,这也是从安全性考量的,一般地说,数据库的文件夹下不应该有任何脚本,因为数据库的文件夹需要开写权限的,写权限和脚本权限总是不共戴天,如果他们共存,那么这个文件夹必定会成为黑客的乐土了。数据库的文件时间一定是最近的,因为它会随着网站更新。

一般地,网站的根下面会有个web.config,这里会写着网站的数据库路径和网站链接数据库的方法,也有的网站会起名叫conn.asp或者ljconn.asp,还有的网站会建一个叫inc或者conn的文件夹来专门放数据库链接文件以及大多页面都会引用的文件。这些文件也是网站建立的时候就有的,日期也该是那会儿的。

网站的根下面往往还有一个或多个供上传文件的文件夹,这里面会有很多图片、文档和材料,但是绝不该有脚本。因为上传的需要,这个上传文件夹必须有写权限,根据我们的“不共戴天”法则,这里的脚本权限一定是关闭的。而文件的日期,也是随着上传更新的。

如此一来,我们多了两点重要的知识:

1.      一般地,只有数据库文件夹和上传文件夹需要写权限,其他文件夹不需要写权限!只有存在动态页面文件的地方才需要脚本权限,不存在的地方不需要脚本权限!脚本权限和写权限不能共存,否则要坏事!如果您管理这个网站的服务器的话,您一定要牢记这点;

 

2.      一般地,只有数据库文件和上传的文件的修改时间才会是最近的,其他的脚本文件往往不会改变,如果他们改变了,或是新增出来啥新的脚本,那您一定要小心,很有可能就是木马!

 

如果您更发烧一点,为了显示您的专业水准,您可以探究一下您网站的后台是什么架构,往往外面做网站都使用一些开源的编辑器来做网站的后台,比如风讯(foosun)啊、eWebeditor啊,然后您可以搜索一下这些编辑器的漏洞和补丁,并且要求给您做网站的同志,更新好编辑器的版本,这样可以有效地避免一些非常糟糕的代码漏洞。

 

在一个良好的服务器环境下(这意味着没有啥其他应用,安装和更新专业杀毒软件,并及时更新系统),有较好的网站代码和科学的权限配置,您的网站应该是有一定的健壮性的,但是这万万不能等同于天下无敌。黑客的手腕是出乎您的意料的,他总是在矢志不渝地尝试后发现连开发者也没有注意的漏洞,从而猛下黑手,搞得风生水起。所以及时的异地备份绝对是永远正确的保护措施,备份的时机可以走两种策略:1.每逢一段时间备份一次,可以是每周每两周或者每月;2.网站内容做了更新后备份。这两种备份都能有效地在发生无可换回的灾难时提供有效的回滚,但是请记得早前备份也要保留几份,因为或许您当成是宝的最新备份里,已经中了黑客的招啦。

 

一个反黑的战士,手里也应该有个得心应手的武器才对。我这里总结出了一个比较傻瓜又非常好用的软件webscanV2.2,我把它放在了这儿:

http://cert.ecnu.edu.cn/s/182/t/261/67/79/info26489.htm

这个软件还可以杀掉很多正常办法杀不掉的文件,但是并不是这里扫出的全部是坏玩意,您在痛下杀手锏时,记得备份一下它们,避免错杀无辜。

 

愿意有机会和您继续探讨网站,也希望您拨打我的电话时不再心焦和忧虑。