網站以「黑」治傷？ Web伺服器安全應受關注

仲介交易 SEO診斷 淘寶客 雲主機 技術大廳

隨著資料安全事件的頻繁出現，網站安全成為業界關注的焦點。 蒙牛公司因陷入「乳品質量門」而遭到駭客攻擊事件受到網友的廣泛關注!據2011年12月28日晚間新浪網消息，中國乳業巨頭蒙牛公司官方網站當日晚間遭到駭客入侵，自稱為「SIT小組」的駭客攻擊蒙牛官方網站，並更改其首頁登錄頁面 ，引起眾多網友圍觀，使其網站短時間陷入「癱瘓」狀態：

蒙牛官網截圖

網站被黑的現象在國內外時有發生，可檢索到：2011年下半年，北郵網站被黑，「校長變豬頭」，上演憤怒的鞋子鬧劇。 2011年11月21日，我國著名CSDN網站600萬使用者資訊洩露，於是掀起了一波網站資料洩漏被紕漏的浪潮，之後接二連三的紕漏洩漏事件真假難辨，但是重新引起人們對Web伺服器安全方面的重視。 而「一波未平一波又起」，蒙牛公司又因「乳品質量門」，使憤怒者黑其網站，並被稱為「名族的恥辱」，引來業界一片譁然!

去年境內3.5萬個網站被黑

被攻擊網站的問題著實令人氣憤，但在惱怒之時也要遵守網路上的道德規範，入侵黑其網站的行徑還是應該受到各方譴責。 Web伺服器安全方面一直重視程度不夠，是各種網站經常被黑的主要原因。 下面筆者總結了一下關于怎樣保證Web伺服器安全的措施，希望能給那些伺服器尚存在漏洞的使用者提供一些説明。

文主要以Windows server 作業系統的伺服器作為目標物件，因基於IIS的Web網站伺服器較多，受攻擊情況較嚴重。

1.物理安全

伺服器應該安放在安裝了監視器的隔離房間內，並且監視器要保留15天以上的攝像記錄。 另外，主機殼，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的安全的地方。

2.帳戶安全

把管理員adminstrator使用者改名，啟用密碼安全性原則，保證密碼長度，啟用密碼鎖定策略，防止暴力破解，創建新的使用者，加入到administrators組，防止唯一的管理員使用者被鎖，停用guest使用者。

3.停止不需要的服務，建議關閉選項：

●Computer Browser：維護網路電腦更新，禁用

●Distributed File System： 局域網管理共用檔，不需要禁用

●Distributed linktracking client：用於局域網更新連接資訊，不需要禁用

●Error reporting service：禁止發送錯誤報表

●Microsoft Serch：提供快速的單詞搜索，不需要可禁用

●NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用

●PrintSpooler：如果沒有印表機可禁用

●Remote Registry：禁止遠端修改註冊表

●Remote Desktop Help Session Manager：禁止遠端協助

3.關閉不必要的埠

關閉埠意味著減少功能，在安全和功能上面需要你作一點決策。 如果伺服器安裝在防火牆的後面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。 用埠掃描器掃描系統所開放的埠，確定開放了哪些服務是防止駭客入侵你的系統的第一步。

以下所說的埠是指TCP埠：

●WEB服務：HTTP埠：80，HTTPS埠：443， 提供服務的軟體 IIS

●Windows終端(遠端桌面)服務：埠：3389。

●SSH服務：埠：22。

●Telnet服務：埠：23。

●Mysql資料庫：埠3306。

4.稽核原則

在運行中輸入gpedit.msc回車，打開群組原則編輯器，選擇電腦配置-Windows設置-安全設置-稽核原則在創建審核專案時需要注意的是如果審核的專案太多，生成的事件也就越多，那麼要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重 的事件，你需要根據情況在這二者之間做出選擇。

推薦的要審核的專案是：

●登錄事件 成功 失敗

●帳戶登錄事件 成功 失敗

●系統事件 成功 失敗

●策略更改 成功 失敗

●物件訪問 失敗

●目錄服務訪問 失敗

●特權使用 失敗

5.開啟密碼原則

策略 設置

●密碼複雜性要求 啟用

●密碼長度最小值 6位

●強制密碼歷史 5 次

●強制密碼歷史 42 天

6.開啟帳戶原則

策略 設置

●重定帳戶鎖定計數器 20分鐘

●帳戶鎖定時間 20分鐘

●帳戶鎖定閾值 3次

7.設定安全記錄的存取權限

安全記錄在預設情況下是沒有保護的，把他設置成隻有Administrator和系統帳戶才有權訪問。

8.把敏感檔存放在另外的檔案伺服器中

雖然現在伺服器的硬碟容量都很大，但是你還是應該考慮是否有必要把一些重要的使用者資料(檔，資料表，專案檔案等)存放在另外一個安全的伺服器中，並且經常備份它們。

9.不讓系統顯示上次登陸的使用者名

預設情況下，終端服務接入伺服器時，登陸對話方塊中會顯示上次登陸的帳戶明，本地的登陸對話方塊也是一樣。 這使得別人可以很容易的得到系統的一些使用者名，進而作密碼猜測。 修改註冊表可以不讓對話方塊裡顯示上次登陸的使用者名

10.到微軟網站下載最新的補丁程式

很多網路系統管理員沒有訪問安全網站的習慣，以至於一些漏洞都出了很久了，還放著伺服器的漏洞不補給人家當靶子用。 誰也不敢保證數百萬行以上代碼的系統不出一點安全性漏洞，經常訪問微軟和一些安全網站，下載最新的service pack和漏洞補丁，是保障伺服器長久安全的唯一方法。

11.殺毒軟體的安裝

瑞星、江民、金山、諾頓、卡巴斯基總有一款殺毒軟體是你需要的。

12.防止SQL注入

SQL資料庫服務儘量只允許本機連接、在伺服器端對交互資料作嚴格的檢查，過濾非法字元、安裝IIS安全工具。