从黑客的身份来说香港服务器的安全
导语:网站的被挂黑链;网站数据库被破坏或者盗取;服务器被沦为肉鸡等。这些都是被黑客给入侵了,每天都有无数的服务器被入侵,无数个网站程序被盗取。
这些关键原因就是他们的服务器安全基本配置没做好,那么小编今天就以黑客的身份来说香港服务器的安全。主要是从三大权限设置来解说的:下载权限;上传权限;
注入权限。
一、防止数据库被非法下载
由于程序出错暴出了网站数据库的路径,那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。
打开IIS添加一个MDB的映射,让mdb解析成其他下载不了的文件:“IIS属性”—“主目录”—“配置”—“映射”—“应用程序扩展”里面添加.mdb文件应用解析,
至于用于解析它的文件大家可以自己进行选择,只要访问数据库文件出现无法访问就可以了。
这样做的好处是:
1.只是要是mdb后缀格式的数据库文件就肯定下载不了;
2对服务器上所有的mdb文件都起作用,对于虚拟主机管理员很有用处。
二、防止上传
对付上传,我们可以总结为:可以上传的目录不给执行权限;可以执行的目录不给上传权限。Web程序是通过IIS用户运行的,我们只要给IIS用户一个特定的上传目
录有写入权限,然后又把这个目录的脚本执行权限去掉,就可以防止入侵者通过上传获得webshell了。
配置方法:首先在IIS的web目录中,打开权限选项卡、只给IIS用户读取和列出目录权限,然后进入上传文件保存和存放数据库的目录,给IIS用户加上写入权限,最后在
这两个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”即可。见下图
最后提醒一点,在你设置以上权限的时候,一定要注意到设置好父目录的继承。避免所做的设置白费。
三、MSSQL注入
一般来说可以使用DB_OWNER权限帐户连接数据库,如果可以正常运行,使用public用户最安全的。设置成dbo权限连接数据库之后,入侵者基本就只能通过猜解用户名和
密码或者是差异备份来获得webshell了,
对于猜解用户名和密码,我们可以通过加密和修改管理后台的默认登陆地址来防御。
对于差异备份,我们知道它的条件是有备份的权限,并且要知道web的目录。寻找web目录我们说通常是通过遍历目录进行寻找或者直接读取注册表来实现。
无论这两个方法的哪一种,都用到了xp_regread和xp_dirtree两个扩展存储过程,我们只需要删除这两个扩展存储就可以了,当然也可以把对应的dll文件也一起删除。
但是如果是由于程序出错自己暴出了web目录,就没有办法了。一般的服务器都可以设置,
即使是程序错误,也只是显示错误指令,不会显示错误的路径的
现在百度搜索引擎也推出了自动检测网站是否安全的功能,例如就知道网站是否被入侵等等,他可以检测网站的安全级别,如漏洞检测,恶意代码检测,被篡改检测,欺诈内容检测。所以关注香港服务器的安全问题还是非常重要的。
本文出自广深互联:http://www.99idc.cn/style/info/shownews.asp?id=949
喜欢本文或觉得本文对您有帮助,请分享给您的朋友 ^_^
- 1网站改版切勿盲目跟风
- 2站长最常用的两个流量统计 多年使用心得
- 3大羽羽绒服使用纳客会员管理系统
- 4一定要先了解服务人员所说的包套价格与内容
- 5网站优化粘度应考虑需求与欲望
- 6域名网网站优化优势
- 7南昌网站建设介绍新站SEO的注意事项
- 8智能模式按键可提供既定的合理设置
- 9南昌泛普软件科技公司三周年庆典致辞
- 10义乌华睿软件公司分享—系统产品开发三大要点
- 11点击提升关键词排名:用户需求是关键
- 12读研究生的孩子对自己的民族文化理解比较深
- 13义乌软件公司分享ERP系统需要用户需求统一
- 14什么样的是高质量的网站内容
- 15网络营销对一个公司未来发展的重要性
- 16SEOer的发展
- 17最重要的是选择一个适合自己能力和水平的学校
- 18告诉大家一些处理旧办公家具的方法
- 19遮住日光的直射可使空调节电约5%
- 20勇闯全国电子商务探索之路
- 21在购买办公用家具时一般会选择一些合成板材料
- 22域名服务器缓存污染
- 23百度排名规则最新动态 你发现了吗?
- 24国内虚拟主机中“南电信北网通”互通的方法
- 25百度产品的利与弊
- 26域名解析常见问题
- 27怎样的网站比较容易被百度搜索引擎收录
- 28企业做SEO有什么意义?
- 29ERP系统与SCM系统七大重叠功能
- 30义乌进销存软件分享ERP系统的四大管理目标