企业官网安全防御，怎样防止被挂马？怎样防御CC攻击？

感谢邀请

网络安全一直是各个企业网络部门的关注重点。企业官网的安全防御也是工作中的重中之重。

上图，第一美女黑客——李妙姿

网站服务器的安全防御无外乎以下几方面：

1. 服务器系统安全防御 就目前来说，服务器操作系统一直都在更新，功能越来越先进，但是操作系统是个庞大的工程，难免会有漏洞的存在。

比如说微软的Windows操作系统，几乎每隔一段时间都会进行补丁发布，需要进行为电脑操作系统进行打补丁。家用电脑系统如此，服务器系统也是如此。

不只是Windows系统如此，linux系统也是如此，只不过linux系统比Windows安全一些，这也是鉴于linux的开源性，很多漏洞都被及时发现，降低了被黑客利用的风险。

象妹妹推荐，若是条件允许，推荐使用linux的操作系统，若是asp或是asp.net这类必须使用.Net框架的语言编写的程序，那就没办法了用Windows系统吧。 不管你使用哪种操作系统，操作系统的账号密码，切记不能过于简单，用不着的端口全部屏蔽掉。（服务器的密码，怎么也得是字母+数字+特殊字符的组合才够安全）

2. 服务器软件安全防御 服务器是干嘛用的呢？当然是提供服务的。所以服务器上软件出去必须要用的，其它尽量少安装，或是不安装。

举个例子：个人电脑上，当Windows系统安装了office后，就会发现有很多漏洞是针对office的。 有部分管理员在服务器上安装一堆软件，还有安装360的、写代码用的IDE，完全把服务器当做个人电脑来使用的节奏啊，这样子是非常不可取的。

个人建议服务器上就安装必须用的软件，连中文输入法我觉的没必要安装，毕竟安全第一。 建议服务器上安装一个服务器安全类软件，协助管理服务器。

3. 网站cms安全防御网站被挂马，绝大部分是网站使用的cms有漏洞，被黑客发现利用漏洞，上传了病毒文件修改正常网页。

第一、 经常更新cms，有升级版跟据自己的实际情况进行升级，可以杜绝一些网站cms系统自身的一些安全漏洞。

第二、 对于网站的目录进行权限控制，比如上传文件目录，就需要开发写入权限，关闭脚本执行权限，其它目录可以关闭写入权限（需要用到的缓存目录需要放开写入权限）

第三、 尽量不跨站引用文件，特别是js文件，很多修改网页的代码都是js做的。

第四、 尽量前台和后台分开，前段访问到尽量是静态文件。

比如说，现在dedecms依然是很多人企业站的首选，但是dedecms漏洞很多，怎么办？那就把dedecms的前台和后端分开，前端全都是静态文件，不给任何脚本执行的权限。

还有一个实现网站安全防御的办法，那就使用cdn，开启cdn不仅网站访问速度快了，而且攻击者也找不到网站源地址了，被攻击的可能性也降低了很多。

一般的企业网站这么处理，基本上都是比较安全的。

结束语关注“象妹妹谈企业管理”，畅聊企业管理软件问题，让管理更高效。

了解更多行业、更多企业管理问题，私信象妹妹，给你答案。

你会担心云服务器安全吗？

会有危险

我的服务器是腾讯云的（1块钱一个月）的学生服务器，上面跑着我的小博客，今年八月完成了服务器的docker化，用nginx-proxy完成反向代理和套下了它的日志，准备看一下日志中有多少有趣的东西。

日志文件的大小足足有16M大，也许几张高清大图的大小远超16M，但是这可是纯文本文件啊。为了分析方便我使用脚本将日志文件分字段拆分插入了mariadb数据库，方便以后分析查询。

由于使用了nginx-proxy容器作为反向代理，只有以正确的域名访问我的服务器才会得到正确的响应，通过ip访问或者通过错误的域名访问统统503。没想到这个不太刻意的设置居然成了我的服务器的第一道防火墙。

把服务器日志导入数据库，大概滤掉正常的请求，首先看到的是师傅们扫目录的记录。

这些请求全部来自一个香港的IP（大概是个vps），这些大概是扫描服务器中的webshell（webshell是可以通过web直接操作服务器的后门，可以说是一种木马），也有的是扫描wp-config.php这样的WordPress配置文件，一般没有什么危害，只是作为信息收集。

继续往下看我们发现了更有趣的东西：

有4834条记录与phpmyadmin的扫描有关。我们知道phpmyadmin是一个很好用的类MySQL数据库的管理前端，很多学艺不精的程序员很喜欢用它管理数据库，大大咧咧的把它放在了根目录，再配以祖传的弱密码。被拖库只是时间和运气问题。这些流量有来自香港，福建，也有北京。

是不是所有扫描都是那么简单粗暴呢，并没有，我们注意了这位师傅的扫描记录：

风格一改其他师傅简单粗暴的风格，怀着好奇心我们搜寻了一下这些请求背后的故事。

第一个payload针对的是织梦cms（Dedecms）的任意文件上传漏洞，这已经是一个老漏洞了，黑客可以利用这个漏洞上传webshell木马什么的，最终控制服务器。

第三个payload（xycms）针对的是xycms咨询公司建站系统的漏洞（都不能叫漏洞了），直接把数据库放在了web目录下，真正实现一键拖库。

（厂商忽略此漏洞可真是太蠢了）

下一个漏洞又是织梦cms的，就是那个download.php和ad_js的。这是一个2013年的高危漏洞，因为变量未被正确初始化， 黑客可以通过一套花里胡哨的操作执行sql注入，并且还能通过一个程序把数据库中的内容写入文件，最终通过一套连环操作在服务器中留下后门。

下一个是个新漏洞，这个高危漏洞今天7月才被爆出，可以远程执行代码，来自Modx Revolution

漏洞全来自php？并没有，我们注意到这样一条记录：

此攻击针对的是巨硬家IIS 6.0的一个安全漏洞，这是一个利用缓存区溢出的高危漏洞，可以导致远程代码执行。

还有一些利用Weblogic的新洞(CVE-2018-3252)，Apache Struts2的漏洞（CVE-2017-5638）的payload我在这里就不再列举了。当然当然，最有意思的还属最后一个payload：

这个payload罕见的附上了用户名，我们在网上搜索和这个payload相关信息的时候发现，这并不是一个针对服务器的攻击payload，而是针对一些物联网设备，比如说……摄像头。

hi3510是海思公司推出的一款视频压缩芯片，主要用于摄像头，我们找到了一份IP Camera CGI的应用指南，找到了相对应的命令用法：

但是我们并没有在网上搜索到相关的漏洞，但是发现很多网站的日志中都存在这条记录

所以这极有可能是一个还没有公开的，物联网中摄像头中存在的漏洞。所以，有师傅日了摄像头当肉鸡看起来并不是传言。

然而，上面分析的这些，也只是黑客黑产冰山上的小冰渣。现实比这要严重的多，也许黑客在黑市中贩卖着你的隐私，你的服务器，而你却浑然不知。

网站被黑了你们都是怎么做的？

对于一些不具备网站运营的新手来说，网站一旦被挂上黑链，就会担心网站排名受到影响，但又找不到原因。那么，应该如何有效的防止网站被挂上黑链呢？

1、要做到定期检查网站的源代码

黑链一般都挂在网站首页的源代码中，但也有些黑链会挂在网站的首页中，这样会增加一些难度，需要网站运营人员经常查看网站的源代码，在网站文字位置点击鼠标右键，在弹出的菜单中点击“查看原文件”就可以了。如果网站设置了禁止右键点击，可以通过下载一些比较好用的浏览器来查看源代码。

2、使用站长工具检查黑链、死链

作为网站运营人员，应该定期使用站长工具来检查网站的死链、黑链。站长工具都有查看网站页面的功能，可以查看网站所有页面的链接。这个工具既可以查看网站中的链接是否可以访问，还可以显示出网站页面中所有的链接，当发现有未知链接的时候，就有可能是黑链，需要马上删除此链接。

3、查看网站文件的最后修改时间

这一点对于很多网站运营人员来说要做到都是比较困难的。但是如果习惯查看网站记录，其实是很容易看出来的。作为网站运营人员，要记录好对网站做了哪些修改。在网站中，每一个文件都有最后的修改时间，如果没有修改时间，系统就会按照文件的穿件时间来显示。如果突然看到某个文件的修改时间变成了与现在时间相近，这个文件就有可能被人动了手脚，被修改了文件源代码、挂了黑链，最好把这个文件下载到本地，详细查看一下文件源代码中有没有挂黑链的痕迹。

4、更换网站FTP用户名与密码

对于网站被挂了黑链，很多情况都是因为给你网站挂黑链的人使用了非法手段取得了网站的FTP密码。特别是网站FTP密码设置的非常简单的时候，最容易被入侵。在设置的时候要尽量复杂一些，大写、小写、标点符号相结合的密码，这样就会更安全一些，不要等到被挂了黑链才想起来修改密码，这样就已经晚了。在处理完黑链之后也要及时修改密码。

5、确定是网站被挂还是服务器被挂

可能有很多网站运营者不知道，在站长工具中有一个可以查看同IP下的站点。很多情况下，也有可能是网站服务器被挂上了黑链。这个时候就需要使用站长工具中“同IP站点查询”功能查看和网站相同服务器的网站，如果你的网站被挂上了黑链，同一IP下的所有网站都有可能被黑链入侵，这就判定的是服务器安全问题，而不是网站程序代码的漏洞问题，需要马上联系服务器提供商来解决安全问题。