有人愿意做付费的服务器安全维护吗?

2015-05-06 21:40:20 +08:00
 my101du
公司的网站(discuzX程序,权重较高,行业门户),放在linode上,这几天可能是被注入了木马,然后接着提权,先是删部分mysql数据表,接着直接删可写目录的文件,服务器的出入口流量也大幅增加,感觉像竞争对手蓄意的破坏。

因为我们公司IT部门是花钱的部门,在运维和安全这块一直是短板,即使网站规模扩大也没有投入太多人员和精力去做。

如果有愿意帮忙维护公司网站安全的牛人,我们提供付费服务。最好是品行端正没有其他要求(为什么提这个呢,不要误解,因为之前有黑客黑站以后找到我,说帮维护网站,但要求挂他的客户的链接)

不熟悉安全行业,google好像也找不到类似的公司……可能这个行业的人都不愿意抛头露面吧
3319 次点击
所在节点    服务器
19 条回复
imnpc
2015-05-06 21:50:57 +08:00
我只能提点建议,做安全维护太累,钱少了也没人愿意做

1.不要采用那些免费的一键安装环境,采用DA面板 CGI模式安装php 后台可以用自带的备份系统每天备份 同时每个站点都是严格的权限分离,DA国内大约350~400 永久授权.

2.论坛附件采用FTP或者阿里云 又拍云 七牛云 这样的存放模式

3.严格按照DZ官方要求 设置每一个目录权限

4.安装流量统计系统 统计每日流量

5.服务器采用密钥文件登录
GeekTest
2015-05-06 21:53:07 +08:00
出门左转,各家的CDN,不谢
unixbeta
2015-05-06 21:59:34 +08:00
php权限最重要

可以联系我们
willis
2015-05-06 22:24:30 +08:00
不介意是个人的话,可以联系我,六年运维
FifiLyu
2015-05-06 22:46:02 +08:00
出问题了,才想起找专业运维。这是个坑啊!
说白了,就是不重视。临时找,费用肯定不便宜,钱又少没人做。
scys
2015-05-06 22:52:46 +08:00
感觉怎么说都别扭~可是又想说点啥。
来个酱油吧:

1. 和团队合作靠谱程度高;
2. 个人合作,短中期都行,长期难度高;
3. 觉得你说明的环境,很难解决实际问题,主要是不被重视。
willis
2015-05-06 22:55:47 +08:00
补充下一楼的,说下我们生产中的配置
1.nginx lua-waf 配合limit-req limit-conn防web攻击和cc
2.严格限制目录权限,关掉不必要的php函数和扩展,设置好open based dir防跨目录
3.系统内核打好䃼丁,把nginx php-fpm用chroot降权运行,设置最小权限
4.任何密码都不要用弱口今,用iptables 限制好进出的流量
5.dz不安全多数是插件的问题,配置可以按照官方文档检查下
6.备份备份备份
其实设置不多,楼主自己配置也花不了多少时间,还可以自我提高
Phant0m
2015-05-06 22:56:50 +08:00
服务器监控搞起来,做好日志采集,定期备份检查,关注Web安全动向,提高安全意识。
具体细节如果需要可以联系我,我给你一些规范文档
tangooricha
2015-05-06 23:15:42 +08:00
LZ就是典型的平时不烧香,临时抱佛脚,关键是还分不出哪只脚是佛的那种类型!
my101du
2015-05-06 23:31:27 +08:00
@imnpc
1. 我们安装的军哥一键lnmp,因为发现运维同事自己编译的环境,要么版本有问题对web程序支持不好,要么后来才发现都没有写disable_functions 的……,希望能把更多精力放在业务上
2. 几百G的文件,要好多钱,公司IT部不是赚钱部门,呵呵。不过接下来我就算顶着压力也要上云存储了
3. 都设置了,文件444,目录555,可写的附件目录755,应该是最小了
4. 这个用监控宝或自己iftop看的,可能不是很及时
5. 谢谢提醒,之前没注意


@GeekTest
之前我们用过加速乐、确实看到每天帮阻断了很多扫描和攻击,但是因为机器在国外,加了CDN后,反而有时候百度蜘蛛会说无法连接你的网站(特别有时候晚上),运营部同学说会影响收录于是关闭了。现在已经重新加上了CDN,但事情已经发生了,黑客好像都已经拿到了更高权限了


@FifiLyu
唉……理解下IT部门是公司非赚钱部门的打工狗吧,不是所有公司都是BAT那么有钱和配备齐全……


@willis
您说的,部分做了,但没有做的这么全面。您应该对discuz了解很多吧。
可以联系我 24七9八4五191,请赐教,费用方面详谈,和boss讨论下,双方都觉得合适就行

@Phant0m
谢谢您的热心,这些文件我有搜集过,但确实没有这么多精力,特别有时候人员变动,招聘运维很麻烦(我是偏产品的所谓部门主管,专业能力不强)
my101du
2015-05-06 23:32:08 +08:00
@tangooricha 批评得是,虚心接受。
Showfom
2015-05-07 04:05:34 +08:00
一个网站一个VPS
可以最大程度上避免跨站攻击
Septembers
2015-05-07 05:19:27 +08:00
@Showfom 前端再布置个反向代理记录日志,妥妥的
Septembers
2015-05-07 05:23:50 +08:00
安全临时做做不起来,
安全是长期投入而且看不见回报的感觉很透明,
但是不做,出了事又觉得安全很重要,
然而 亡羊补牢 为时以亡
ryd994
2015-05-07 05:41:20 +08:00
@my101du 为何不用官方rpm?即使有特别需求,也应该rebuild官方SRPM
加速乐报的那些扫描攻击之类的都是很弱智的随便乱扫的,参考安全卫士报的都是什么级别的漏洞,小白产品都一样
安全有多大用只有做安全的自己知道,无过即是大功
sphawkcn
2015-05-07 09:40:41 +08:00
@my101du 看到用的一键**,而且未使用密钥登录,知道我什么想法吗?攻破是迟早的事。
can
2015-05-07 10:03:04 +08:00
小白的话装个安全狗就把这问题解决了,有那么麻烦?
mcone
2015-05-07 10:05:35 +08:00
关注。个人建议楼主找一家专业的企业或者团队负责这个好一点,签个合同啥的;找个人的话,总觉得靠谱的可能性比较低。如果楼主找到了欢迎分享下

这方面确实是很大的问题,大家都不重视呢。平时没问题的时候boss认为是理所应当了,设置不愿意给运维发钱;出了问题想找人了,都已经成了烂摊子了,谁愿意去接手(并且估计给的钱还是不会多)。

找“只差一个安全运维方面程序猿”的,比那些找“只差一个创业程序猿”的,不懂还舍得花钱的小白只会更多。

大部分无脑boss还是只看表面,喜欢头疼医头脚疼医脚的那种,而不是防微杜渐从不出错的那种。悲哀。祝这些boss早日玩垮自己的站点 [最后一句好像有点毒,想想只送给那些罪大恶极的吧
mcone
2015-05-07 10:08:25 +08:00
Para.2 设置不愿意 -> 甚至不愿意
Para.3 不懂还舍得花钱的小白 -> 不懂还**不**舍得花钱的小白

唔,曾经被迫干过俩月类似运维的岗,电话24h不关机那种,后来果断走人了。拿着卖白菜的钱,操着卖白粉的心,开什么玩笑。

看到这个话题有点小激动,嗯嗯,冷静下。

后来那家好像网站搞成纯html还被挂了一堆黑链,嗯

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/189036

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX