关于网站安全的一点心得,和大家分享下

2019-04-25 14:43:27 +08:00
 ioioioioioioi
1. 网站要备份,异地备份。 不想花钱的方法是 在本地 linux 电脑上定时运行 rsync
2. 用 Acunetix 软件扫描网站
3. 服务器取消 ssh 密码登录
4. MySQL 不用 root
5. 内部服务设置 IP 限制

欢迎补充交流。

---
这是我之前发的帖子: https://www.v2ex.com/t/548308#reply17

后续就是黑客要比特币付款,不敢露出真面目。感觉上黑客来自土耳其。再后来我们一个数据库被删掉,我们也就断了和黑客交易的想法。

然后就是内部查阅所有代码,修复了所有 SQL Injection 漏洞,各种 IP 限制等,目前还算平稳。

对于在那个帖子说给点钱报答人家的,我也不骂你,祝你好运。
5327 次点击
所在节点    程序员
34 条回复
ioioioioioioi
2019-04-26 09:14:33 +08:00
@oIMOo 我们网站项目代码有 git, 通过 git status 发现有文件被篡改了
Myprincess
2019-04-26 10:22:25 +08:00
域名被劫持怎么弄呀。我的 8 个域名被劫持了。全部转到奥们 X 场。
NjcyNzMzNDQ3
2019-04-26 10:47:12 +08:00
@ioioioioioioi 同有 git,今天立马禁止了,不禁止后果太严重了
NjcyNzMzNDQ3
2019-04-26 10:50:31 +08:00
@Myprincess 如果 dns 解析正确的话,试试禁用 js 看跳转不,如果还跳转那就是服务器代码的问题
Myprincess
2019-04-26 10:54:01 +08:00
@NjcyNzMzNDQ3 就是用的是 WP,后台全部 被改,然后输入域名全部跳转到别人的网站上去.服务器上没有问题,怀疑是网站 被注入木马.很多次了.腾讯老是打电话过来说我的网站 有问题.
ioioioioioioi
2019-04-26 11:06:24 +08:00
@NjcyNzMzNDQ3 可否详细解释下,不禁 git 有什么后果?
NjcyNzMzNDQ3
2019-04-26 11:12:10 +08:00
@ioioioioioioi git 源地址、明文账号密码、服务器项目目录结构
NjcyNzMzNDQ3
2019-04-26 11:13:53 +08:00
@Myprincess 哦,wp 的话你可以看看 wp_option 表里的 siteurl 是不是被改了,你要找不到我可以帮你
alert1
2019-04-26 11:17:32 +08:00
修改默认密码,不要把任何服务开放到外网,除了 mysql,还有 redis,mongodb 这种。做安服见过太多 redis 写 ssh key 与 mongo 直接勒索加密。
ioioioioioioi
2019-04-26 14:32:27 +08:00
@NjcyNzMzNDQ3 密码不进 git 的,git 目录 web 也是无法访问的
KigKrazy
2019-04-26 15:20:32 +08:00
* 外网统一使用 niginx 做一层隔离和过滤
* 数据备份推荐使用 borg + borgmatic,(本地两份,云端一份。)
Myprincess
2019-04-26 15:46:00 +08:00
@NjcyNzMzNDQ3 TVlQUklOQ0VTU0NO
defunct9
2019-04-26 15:59:15 +08:00
裸奔
jetpy
2019-04-27 23:07:46 +08:00
建议备份工作要做好, 自己构建异地备份可以某种程度上降低风险, 最稳妥的还是使用阿里云的混合云备份, 强烈建议, 价格不高, 本地要搭建起同样安全级别的备份策略花费会更高!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/558594

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX