使用虚拟主机(空间)的站长朋友,可能会遇到网站常被挂黑链、木马等情况,但是这是程序问题还是空间(服务器)问题?
这个问题真的很纠结,你如果问空间商,他们一定会说是程序问题;那么你找程序开发人员,他们一定说是空间问题。
从技术角度来判断:
1、在站长站工具 同IP网站查询(http://tool.chinaz.com/Same/),输入你的域名,查询同台服务器上的其他站点,如果有超过5个有同样的黑链或木马,那么是空间(服务器)问题的机率非常大;
2、将网站空间里的文件全删除,上传纯静态的html或htm文件,如果过几天还是被黑了,那么一定是空间问题;
3、如果你的程序是在网络上购买的,或者免费下载的,你要注意了,因为这些程序经过多次转手,可能出现别有用心的人使坏,这种情况不是少数;特别是那种所谓的打包的程序;最好是自己一个文件一个文件的看完有没有问题。免得留有后门。
要知道那些所谓的网站“打包下载”也是通过入侵网站,然后用木马程序将其网站打包的,这些网站本身就有安全隐患,如果不修复,可能会被入侵。而且有部分“打包高手”在打包网站后,并没有清除自己入侵网站时所用的木马后门等工具。
所以,网络上购买的程序和下载的别人打包的程序,要认真检查,很可能就是程序漏洞或者本身有后门所引起的。
4、出现被挂马的网站,asp的居多,这些程序大多是2005-2008年之间开发的,后来也没有什么更新,新的漏洞被公开。特别是一些作者的水平并不高的情况下。最好找个人帮你看一下;这种网站被入侵挂黑链是因为程序所引起的机率非常高。
5、网站出现问题后,下载全部文件,检查是否有 xxx.asp.gif之类的文件,要小心了,这种多数是程序上传审核问题引起的。如果出现 xxx.asp 之类的目录,这一般是操作系统漏洞没有修补所导致的。一些后门常用的文件名:、he1p.asp (是数字1不是字母l)、T0P.asp(是数字0不是字母O),最好是将全站代码一一检查。推荐使用 Beyond Compare 工具对之前备份的文件和被挂马后的文件进入对比。
6、上传空间探针程序(阿江ASP探针:http://www.ajiang.net/products/download/aspcheck.zip) 检查是否有 WScript.Shell 等基本安全问题。如果有,可以自己试着上传一个 ASP木马程序,来测试,如果可以看到其他网站,或者修改系统设置等,那一定是服务器安全问题了。
当然,服务器(空间)和程序都有关系,两者其中一个出了问题,网站安全都有问题。有的程序的漏洞必需在特定的服务器环境里才能爆发(程序的漏洞,可以通过服务器策略来限制,而达到保证安全的目的),反之,有的服务器系统漏洞,也必需通过一定的程序问题才能被利用(尽管服务器有漏洞,但黑客需要一个切入点,而你的程序又刚好有。如:典型的无组件上传与IIS6.0目录文件名解析漏洞的结合。)
安全建议:
1、空间选择方面,尽量不要用全能空间,支持的程序语言越多,安全问题就越大。如果你的程序是PHP+MySQL,那么就不要用包含支持ASP的空间;
2、程序使用方面:
A、网络上下载的程序:注意发布时间,检查是否有更新,如果是几年前的程序,尽量用最新的程序代替。如果实在要用,请检查最基本的安全漏洞是否修复。检查是否有别有用心的人加入恶意代码和后门;
B、黑客打包发布的程序:这类程序本身安全性问题非常大,要自行修复。还得检查入侵者使用的后门程序、木马程序是否已清除;
C、使用CMS程序:订阅关注官方消息,这类程序树大招风,容易爆出Oday,一有发布补丁,就要第一时间打上;
3、空间使用上:目前IDC提供商使用的主机管理平台大多含有一些安全功能设置,要充分利用。
文件夹IP访问限制:对网站后台管理目录,可能设置仅限自己的IP访问;
设置执行权限:对 image 等图片目录,文件上传目录,可以设置取消执行权限,保证上传的木马文件无效;
写入权限设置:关闭一些目录的写入权限,如配置文件目录等,保证不被修改,在需要的时候再打开;
设置拒绝IP:对一些日志记录里偿试破解密码的IP设置黑名单。
4、养成良好的备份习惯,最少每半月进行一次全站异地备份(到自己电脑),每周对数据库和上传文件目录进行异地备份,经常通过程序备份数据库,有大的修改,要在修改前后各一次进行异地备份。
5、选择一家有技术实力的主机提供商和程序使用:
在空间试用期间,可以自行上传探针、木马等程序进行安全性测试。对同服务器其他站点进行观察;
充分利用搜索引擎,对程序的安全性进行基础评估,保证最低安全。