A. 伺服器安全問題。惡意腳本問題
那是你伺服器安全出了問題,被黑客入侵了。 看上面的圖片,是在掃描埠。
伺服器安全,一般都是採用軟體輔助+手工服務的安全設置,有錢人都是買好幾W的硬體來做伺服器安全。但是對於我一個小小的站長,哪能承受的了。一年的伺服器託管才5000多,建議你找專業做伺服器安全的公司或者團隊,來給你做伺服器安全維護。
安全這問題,很重要,我上次就是為了省錢,在網上搜索了一些伺服器安全設置的文章,對著文章,我一個一個的設置起來,費了好幾天的時間才設置完,沒想到,伺服器竟然癱瘓了,網站都打不開了,也最終明白了,免費的東西,也是最貴的,損失真的很大,資料庫都給我回檔了,我哪個後悔啊。娘個咪的。最後還是讓機房把系統重裝了,然後找的sine安全公司給做的網站伺服器安全維護。跟他們還簽了合同,真的是一份價格一份服務,專業的服務 安全非常穩定。也只有網站安全了,才能帶來安全穩定的客戶源。道理也是經歷了才明白。說了這么多經歷,樓主慢慢看,希望能幫到更多和我一樣的網站站長。
B. 安裝防篡改軟體對伺服器有什麼要求
這個時候找防篡改軟體的話有點晚了,沒辦法解決,應該是是網站程序有漏洞,被黑客入侵並上傳了木馬病毒,才導致的網路提示網站安全風險,現在首先得修復網站漏洞,清楚網站掛馬等,並進行全面的安全監測,看是什麼問題,利用自己單位的備份伺服器,恢復正確網站內容,做完這些,網站恢復之後,那這時就可以考慮做防篡改預防措施,以防在發生類似情況。一般網路安全公司會先給你提供應急響應,幫你檢測問題,然後推薦安裝防篡改,目前主流的有中創中間件、綠盟、啟明星辰等,可以多方面考察!
C. 在REST API上實現防抵賴、防篡改驗證的簡便方法
開放basic auth並且map到一個現有的資料庫用戶表或者一個xml文件就可以了。
防篡改可以加一個ACL 控制
D. web網頁防篡改什麼軟體好
這個一般是軟體或者程序篡改了主頁
用電腦管家工具箱的瀏覽器保護可以修改回來的
打開後,可以鎖定主頁和瀏覽器,這樣就可以避免遭到篡改了
E. Linux伺服器防護軟體有哪些
宋公明兩贏童貫第78回十節度議取梁山泊
F. 網站防篡改系統
網站被掛馬,通常就是黑客利用網站程序或者是語言腳本解釋的漏洞上傳一些可以直接對站點文件進行修改的腳本木馬,然後通過web形式去訪問那個腳本木馬來實現對當前的網站文件進行修改,比如加入一段廣告代碼,通常是iframe或者script。
想知道網站是否被掛馬,有一個比較簡單的方法,直接檢查每個腳本文件最下方是否被加入了iframe或者script的代碼,然後這段代碼是否是程序員設計的時候添加的,程序員一看就能夠知道。
防範的方式也簡單:
1、程序代碼漏洞,這需要有安全意識的程序員才能修復得了,通常是在出現被掛馬以後才知道要針對哪方面入手修復;
2、也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司
比較專業.
3.伺服器目錄許可權的「讀」、「寫」、「執行」,「是否允許腳本」,等等,使用經營已久的虛擬空間提供商的空間,可以有效降低被掛馬的幾率。
G. 什麼是有效的WEB網頁防篡改系統
隨著越來越多的企事業單位高度重視WEB應用安全尤其是網站安全,對WEB應用安全產品尤其是網頁防篡改產品的需求持續升溫,各式各樣的網頁防篡改產品大量涌現。面對如此眾多的網頁防篡改產品,如何判定一個產品是否能夠真正實現網頁防篡改?成為一件令用戶感到頭疼的事情。 公眾瀏覽到的Web網頁可以分成靜態網頁和動態網頁: — 靜態網頁是Web伺服器上的網頁文件(如html文件)直接反饋給公眾; — 動態網頁是Web伺服器上的腳本文件(如jsp文件)經過執行後,將其執行的結果反饋給公眾,腳本通常會讀取資料庫中的數據,因此最後生成的網頁可以認為是腳本文件和資料庫內容的綜合。 因此從理論上講,網頁防篡改系統所需要保護的網頁,按上述描述可以歸結於保護文件(無論是靜態網頁文件還是腳本文件)和保護資料庫。 目前主流的網頁防篡改產品中,保護文件主要使用兩種技術,一種是以核心內嵌為基礎的數字水印技術,該技術在文件發布時生成數字水印(單向鑒別散列值),在文件每次被Web伺服器訪問(含執行)時檢查數字水印,並對結果進行相應處理。數字水印技術有著密碼學理論基礎,使用的HMAC-MD5演算法也是RFC標准。這個技術不去猜測和防範文件被篡改的原因和手段,而是在其對外產生作用時進行完整性檢查。該技術在安全上非常可靠,也有著廣泛的應用基礎。 另一種是以事件觸發技術,利用操作系統的文件系統或驅動程序介面,在網頁文件的被修改時進行合法性檢查,對於非法操作進行報警和恢復。事件觸發技術具有報警實時化的優點,對一些操作系統上的常規攻擊手段有著一定的防護效果。但由於事件觸發技術將安全保障建立在「網頁不可能被隱秘地篡改」這種假設上,因此也沒有對網頁流出進行任何檢查,在一些情形下(具體情形見下文),公眾是有可能訪問到被篡改網頁的。雖然事件觸發方式無法作到每一個網頁在訪問時都進行實時檢測,也無法針對所有的攻擊手段和操作系統漏洞起作用,但仍可以作為對核心內嵌檢測技術的一種有益補充。 保護資料庫主要使用應用防護技術,該技術對每個來自於網路的Web請求進行檢查,根據已有的特徵庫判斷是否含有攻擊特性(目前主要是注入式攻擊),如有攻擊特性則立即阻止和報警。目前,應用防護技術不僅被網頁防篡改系統廣泛採用,它還是其他應用安全產品(如:應用防火牆、漏洞掃描器)的核心技術之一。但是,應用防護技術需要預先搜集和分析黑客攻擊Web的手段,有針對性的進行基於特徵庫或攻擊行為的防範,是一種類似於防病毒軟體的手段,目前就技術而言,更是一種實踐的技術而非一種理論的技術,存在誤判和漏判的可能。 因此,一個有效的網頁防篡改系統必須達到以下兩個方面的要求: 1. 實現對網頁文件的完整性檢查和保護,並達到100%的防護效果,即被篡改網頁不可能被訪問到。 2. 實現對已知的來自於Web的資料庫攻擊手段的防範。
H. 網頁防篡改系統一個伺服器就得買一套嗎
1、如果網站對安全級別要求不是極高的情況下,熟悉伺服器許可權操作的話,可以直接做好相關目錄的許可權,做好定期備份工作。另外對於登錄入口、後台賬號密碼等設置復雜一些,定期修改等。
2、對於網站前端資源,JS腳本等直接採用雲存儲方式調用【非放在伺服器端的方式,比如,資源類分離調用放在OBS】,減少網站被篡改的排查工作。這種情況下可以加大入侵者的惡意代碼隱藏難度,即使被入侵,也只能在html代碼里添加惡意代碼,這種情況下自己能通過查看源碼輕易排查惡意代碼。
3、基本做好以上工作,正常情況下可以不用單獨購買網頁防篡改系統。
另外:如果自己對這方不熟悉,還是可以購買相關的安全軟體的。此類軟體一般是一個伺服器購買一套的。
I. 網頁防篡改系統的原理是什麼
產品由三個子系統組成
監控代理(MA):部署於Web伺服器,監控Web目錄文件,阻斷非法篡改企圖,實時恢復被篡改的文件並立即告警;同時基於「動態防護」技術,監測並阻斷應用層攻擊。
同步代理(SA):部署於同步伺服器,負責將備份中心更新後的文件實時同步到Web伺服器;同時響應監控代理的恢復請求,實時的將被篡改的文件恢復為標準的文件。
管理中心(MC):為用戶與系統之間的介面,負責將操作指令傳達給監控代理和同步代理,同時實時接收來自代理端的告警信息。
J. 伺服器要做那些安全措施,怎樣防止黑客入侵那
伺服器安全這問題,很重要,之前伺服器被黑,管理員賬號也被篡改,遠程埠也登陸不了了。,在網上搜索了一些伺服器安全設置以及防黑的文章,對著文章,我一個一個的設置起來,費了好幾天的時間才設置完,原以為會防止伺服器再次被黑,沒想到伺服器竟然癱瘓了,網站都打不開了,無奈對伺服器安全也是一竅不通,損失真的很大,資料庫都損壞了,我哪個後悔啊。娘個咪的。最後還是讓機房把系統重裝了。找了幾個做網站伺服器方面的朋友,咨詢了關於伺服器被黑的解決辦法,他們建議找國內最有名的伺服器安全的安全公司來給做安全維護,推薦了sinesafe,伺服器被黑的問題,才得以解決。
一路的走來,才知道,伺服器安全問題可不能小看了。經歷了才知道,伺服器安全了給自己帶來的也是長遠的利益。 希望我的經歷能幫到樓主,幫助別人也是在幫助我自己。
下面是一些關於安全方面的建議!
建站一段時間後總能聽得到什麼什麼網站被掛馬,什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實,入侵不簡單,簡單的是你的網站的必要安全措施並未做好。
一:掛馬預防措施:
1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。
2、定期對網站進行安全的檢測,具體可以利用網上一些工具,如sinesafe網站掛馬檢測工具!
序,只要可以上傳文件的asp都要進行身份認證!
3、asp程序管理員的用戶名和密碼要有一定復雜性,不能過於簡單,還要注意定期更換。
4、到正規網站下載asp程序,下載後要對其資料庫名稱和存放路徑進行修改,資料庫文件名稱也要有一定復雜性。
5、要盡量保持程序是最新版本。
6、不要在網頁上加註後台管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護後刪除後台管理程序的登陸頁面,下次維護時再通過ftp上傳即可。
8、要時常備份資料庫等重要文件。
9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。
11、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程
二:掛馬恢復措施:
1.修改帳號密碼
不管是商業或不是,初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號
密碼就不要在使用以前你習慣的,換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用
SQL的話應該使用特別點的帳號密碼,不要在使用什麼什麼admin之類,否則很容易被入侵。
2.創建一個robots.txt
Robots能夠有效的防範利用搜索引擎竊取信息的駭客。
3.修改後台文件
第一步:修改後台里的驗證文件的名稱。
第二步:修改conn.asp,防止非法下載,也可對資料庫加密後在修改conn.asp。
第三步:修改ACESS資料庫名稱,越復雜越好,可以的話將數據所在目錄的換一下。
4.限制登陸後台IP
此方法是最有效的,每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯,安全第一嘛。
5.自定義404頁面及自定義傳送ASP錯誤信息
404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。
ASP錯誤嘛,可能會向不明來意者傳送對方想要的信息。
6.慎重選擇網站程序
注意一下網站程序是否本身存在漏洞,好壞你我心裡該有把秤。
7.謹慎上傳漏洞
據悉,上傳漏洞往往是最簡單也是最嚴重的,能夠讓黑客或駭客們輕松控制你的網站。
可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。
8. cookie 保護
登陸時盡量不要去訪問其他站點,以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。
9.目錄許可權
請管理員設置好一些重要的目錄許可權,防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。
10.自我測試
如今在網上黑客工具一籮筐,不防找一些來測試下你的網站是否OK。
11.例行維護
a.定期備份數據。最好每日備份一次,下載了備份文件後應該及時刪除主機上的備份文件。
b.定期更改資料庫的名字及管理員帳密。
c.借WEB或FTP管理,查看所有目錄體積,最後修改時間以及文件數,檢查是文件是否有異常,以及查看是否有異常的賬號。