免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

對Web服務(wù)器的攻擊可以說是層次不窮。即使防范措施做的最好，但是一不小心仍然會被黑客惦記。不過根據(jù)筆者的經(jīng)驗，其實大部分攻擊都是可以防止的。而之所以還有這么多的網(wǎng)站被黑，主要的原因在于管理員忽視了一些基本的安全選項。

一、不要使用缺省的WEB站點

在IIS Web服務(wù)器安裝部署完成之后，系統(tǒng)會建立一個默認(rèn)的Web站點。有些用戶就會直接使用這個站點進(jìn)行網(wǎng)站的開發(fā)。這是一個非常不理智的做法，可能會帶來很大的安全隱患。因為很多攻擊都是針對默認(rèn)的Web站點所展開的。

如在默認(rèn)的Web站點中，有一個inetpub文件夾。有些攻擊者喜歡在這個文件夾中放置一些黑客工具，如竊取密碼、Dos攻擊等等。從而使得他們可以遠(yuǎn)程遙控這些工具，造成服務(wù)器的癱瘓。由于默認(rèn)的站點與文件夾的相關(guān)配置信息基本上是相同的，這就方便了攻擊者對服務(wù)器進(jìn)行工具。連信息搜集這一個步驟都可以省了。一些通過IP地址與服務(wù)掃描的黑客工具，其使用的就是默認(rèn)站點這個空子。

防范措施：

其實這一個風(fēng)險還是很容易避免的。最簡單的方法就是在建立網(wǎng)站的時候，不要使用這個默認(rèn)的站點。而且需要將這個站點禁用掉。其實這個方法是一個最基本的安全措施。如在路由器等網(wǎng)絡(luò)設(shè)備上，出于安全需要，也要求管理員禁用掉默認(rèn)的用戶名。這是同樣的道理。然后也不要使用原有的文件夾。用戶可以將真實的Web站點指向一個特定的位置。如果要進(jìn)一步提高安全性的話，還可以對這個文件夾設(shè)置NTFS權(quán)限等措施?？梢娨A(yù)防這個安全風(fēng)險是輕而易舉的事情。但是現(xiàn)實中，可能用戶就是覺得其小，而沒有引起足夠的重視。從而給攻擊者有機(jī)可乘。

二、嚴(yán)格控制服務(wù)器的寫訪問權(quán)限

在一些內(nèi)容比較多、結(jié)構(gòu)比較復(fù)雜的Web服務(wù)器，往往多個用戶都對服務(wù)器具有寫入的權(quán)限。如sina網(wǎng)站，有專門人員負(fù)責(zé)新聞板塊，有專門人員負(fù)責(zé)博客，有專門人員負(fù)責(zé)論壇等等。由于有眾多的用戶對網(wǎng)站服務(wù)器具有寫入的權(quán)限，就可能會帶來一定的安全隱患。如某個用戶的密碼泄露的話，就會乘機(jī)對服務(wù)器進(jìn)行破壞。其實雖然他們都具有對服務(wù)器的寫入權(quán)限，但是他們的分工是不同的。每個人都有自己的領(lǐng)域。

再如一個大學(xué)校園的校園網(wǎng)，一個Web服務(wù)器實際上可能擁有多個網(wǎng)站，多個管理員。如各個學(xué)院有自己的網(wǎng)站等等。此時管理員都有對服務(wù)器修改的權(quán)限。權(quán)限控制不嚴(yán)格的話，那么服務(wù)器上的文件夾就可能會處于非常危險的境地。

防范措施:

這個防范措施也比較簡單，其基本的原理就是給與用戶最小的權(quán)限。如可以根據(jù)網(wǎng)站板塊的不同，將相關(guān)的內(nèi)容放置到對應(yīng)的文件夾中。然后每個特定的用戶只能夠訪問自己負(fù)責(zé)內(nèi)容的文件夾。如此的話，即使某個管理員用戶的密碼泄露了，那么其影響的也只是一個文件夾。而不會對其他用戶的文件夾產(chǎn)生不利影響。

其次就是最好不要講Web服務(wù)器同其他的應(yīng)用服務(wù)放置在一起。特別對于企業(yè)來說，可能為了節(jié)省成本，喜歡將Web服務(wù)器與文件服務(wù)器等部署在同一個服務(wù)器上。這是一種非常危險的方式。因為對于文件服務(wù)器來說，可能每個用戶都具有往服務(wù)器上寫入的權(quán)限。而這就會給木馬、病毒等提供機(jī)會。從而也會影響到Web服務(wù)器的安全。

總之管理員需要嚴(yán)格限制Web服務(wù)器的寫入權(quán)限。在分配用戶權(quán)限的時候，如果要給用戶寫的權(quán)限，那么最好能夠結(jié)合NTFS權(quán)限管理，只提供用戶特定文件夾的寫入權(quán)限。其次就是最好將Web服務(wù)器同文件服務(wù)器等分開，爭取只有少量的用戶具有對服務(wù)器寫入的權(quán)限。

三、不定時的檢查服務(wù)器上的 bat與exe文件

大部分攻擊者都系統(tǒng)使用bat或者exe文件來進(jìn)行攻擊。如有些攻擊者會利用操作系統(tǒng)的任務(wù)管理器。讓系統(tǒng)每天或者每隔一段固定的時間調(diào)用某個程序。這些程序就是以bat或者exe結(jié)尾的，或則是以reg文件結(jié)尾的。這些文件具有非常大的破壞性。如黑客可以利用這些文件更改注冊表、建立隱形帳戶、發(fā)送文件給黑客等等。

防范措施:

有時候即使管理員采用了病毒防火墻等措施，或者每天對服務(wù)器進(jìn)行殺毒，也很難找到這些文件。此時管理員可以采用一個比較原始的方法，就是通過擴(kuò)展名來搜索這些文件。然后查看是否有可疑的。筆者的做法是，Web服務(wù)器部署完成之后，先利用擴(kuò)展名exe、bat、reg等作為查找條件，查找相關(guān)的文件。然后將文件名存放到一個表格中。以后每天或者每周再查找一次，然后跟原有的表格進(jìn)行對比，看看是否增加了一些文件。如果有增加的話，那么這些增加的文件就可能是問題文件。用戶可以使用記事本(注意千萬不能夠直接雙擊打開)這些文件，看看其代碼?；蛘咧苯訉⑦@些文件刪除掉，免除后患。

四、對于IIS目錄采用嚴(yán)格的訪問策略

IIS目錄是Web服務(wù)器中很重要的一個目錄。其相當(dāng)于人的大腦，控制著Web服務(wù)器的運行。為此在規(guī)劃Web服務(wù)器安全的時候，要對此進(jìn)行特別的關(guān)注。不過在實際工作中，這個目錄卻沒有引起用戶的足夠高的關(guān)注。他們有些甚至直接使用系統(tǒng)的默認(rèn)設(shè)置，也沒有進(jìn)行后續(xù)的追蹤。這都有可能成為以后網(wǎng)站被黑、服務(wù)器癱瘓的起因。

防范措施:

對于IIS目錄的安全，筆者認(rèn)為至少需要做到兩點。一是需要對IP地址、子網(wǎng)、域名等加以限制。如根據(jù)追蹤發(fā)現(xiàn)某個不知名的IP地址經(jīng)常ping Web服務(wù)器，此時就需要及時的將這個IP地址拉入黑名單，禁止其訪問IIS目錄。二是需要做好追蹤、分析工作。管理員可以使用一些軟件來記錄用戶對IIS目錄的訪問。如是否有用戶試圖越權(quán)訪問其沒有權(quán)限的目錄等等。限制與事后追蹤，對于IIS目錄的安全來說，是兩把保護(hù)傘，一把都不能夠缺。

五、做好服務(wù)器的升級工作

如果在服務(wù)器上只部署了一個Web服務(wù)，那么筆者建議在第一時間對操作系統(tǒng)與IIS服務(wù)器進(jìn)行升級。通過給系統(tǒng)與服務(wù)打補(bǔ)丁，是提高Web服務(wù)器安全的最好方法之一。畢竟現(xiàn)在很多的黑客其攻擊都是停留在對現(xiàn)有漏洞的攻擊。如果將這些已經(jīng)發(fā)現(xiàn)的漏洞補(bǔ)上，那么遭受到攻擊的可能性就會小許多。

不過在升級的過程中需要注意。如果在Web服務(wù)器上還有第三方的服務(wù)或者非微軟的產(chǎn)品，那么在升級之前需要先進(jìn)行測試。判斷操作系統(tǒng)與IIS服務(wù)最新的補(bǔ)丁是否跟現(xiàn)有的其他服務(wù)與產(chǎn)品相互沖突。雖然這個沖突的幾率還是比較少的，但是這個測試的工作不可缺。

六、禁用不需要的服務(wù)

IIS服務(wù)器部署完成之后，其可能還會同時裝有其他的應(yīng)用服務(wù)。如FTP、SMTP等等。這些服務(wù)都帶有比較大的安全隱患。如FTP本身就是被設(shè)計滿足簡單的讀寫訪問。如果你在Web服務(wù)器上采取了比較嚴(yán)格的安全措施。但是在FTP服務(wù)上沒有。則攻擊者就可以先利用FTP服務(wù)器下載一些黑客的工具。然后再借助這些工具從內(nèi)部發(fā)起對Web服務(wù)器的攻擊。此時攻擊成功率就會高許多。

所以如果某些服務(wù)不需要的話，需要在第一時間禁用它。寧可以后有需要的時候i，再花時間打開。每個服務(wù)都好像房間的門。如果將不需要的門堵死，那么安全工作就會好做許多。因為需要關(guān)注的“門”的數(shù)量大大減少了。

以上這六點雖然不怎么起眼，但是確是大家在日常工作中經(jīng)常容易忽視的地方。從小處著眼，能夠讓你的Web服務(wù)器在安全方面前進(jìn)一大步。