站不大,还是被虫子盯了几次,没办法,只好多从服务器安全上花点心思。
一是服务器装好之后,补丁打好,这个大家都知道,2003的系统可能有的版本不能升级,这一点要注意,找个能升级的版本,我以前吃了这方面的亏,后来换系统麻烦。虽然不升级漏洞不一定会被别人利用,但升级一下总有好处。
二是杀毒软件要装好,有的人喜欢用诺顿,或者一些国产软件。但个人认为,那不是最好的选择,国产的就不必说了,系统资源的占用,效果的问题,网上关于这些的贴多的是,我不再哆嗦。诺顿是一个纯粹的杀毒防毒软件,对木马以及一些网络攻击行为防护并不好,或者说无。有的病毒木马在感染系统文件之前会中止你的杀毒软件,这一点诺顿好象没什么好的办法。还有一个问题是不能支持定制安全策略,比方说,我以前用radmin这个软件进行远程控制,诺顿就报成病毒,虽然我在设置里排除了这个扫描,可是要稍有一点不懂的人就没办法了。
在这里我强烈推荐使用麦咖啡,先说一句服务器上只能用8.x的版本,有的人不要弄什么新的弄个11.x的版,那是个人版,效果很差。麦咖啡不但是个杀毒软件,而且还是个网络防火墙,支持自定义规则,比方说你可以对你的盘符文件夹或文件设置访问保护,是只读,可写或是不准读也不能写,看你的需要。还可以设置有害程序策略,你也可以自定义。象什么威金,熊猫之类的常见病毒网上破解版本的早帮你设置好了。
还要注意一定要启用按访问扫描,再配合密码锁定用户界面,这样纵使感染了未知病毒木马也不可能停掉你的麦咖啡,系统不会瘫痪,你可以有处理的时间。
三是注意你所使用的程序要注意升级,有条件的可以购买正版,正版有服务支持。用盗版的注意设置好权限,有的人做站厉害,但这方面的东西就不行,多在网上查查,把系统区,程序区的权限都设置好,但也不能太严厉,太严厉了对自己的操作也不利。象有的人把C盘都设为只读,这样一来,你修改东西都不好搞了,升级也不好搞,有的程序还出错,C盘给管理员所有权限是必需的。设置起来虽然烦琐,但设置好了比什么杀毒都强,反正服务器一般不会用来浏览网页。这东西你要一早就有个规划,哪个用户给什么权限,哪个盘只读,哪个盘可写,哪个盘给全部权限,做服务器时就要想好。
打上网上一些服务器安全补丁,关闭一些有害端口,修改一些有用端口,还要装上一些辅助防毒软件。这里我推荐使用几个工具:
1、中国剑客联盟的有害端口自动关闭器,关闭一些经常被利用的端口;
2、3389端口修改器,把远程桌面改一个不常用的靠后的端口,别人就是扫描也要一段时间;
3、雨林木风系统DIY1.6,在局域网中隐藏计算机,还有一些东西你自己看着用;
4、360安全卫士,保护全部打开,还要注意设好arp防火墙,要手动设置网关mac和ip,如果真的有不懂的人,cmd下arp -a,你就可以查到网关。这个东西对arp挂马有很好好的效果;
5、卡卡上网助手也可以装,与360交叉运用,几乎抵得上一个杀毒软件,我单机配置太差,这时候还用C3 1.0 256M内存,集显,装上杀软就很慢,我没办法就是这样搞的,资源占用不大。做好了这一步,你就等于给你的服务器上装上了两个杀毒软件,两个防火墙。兼容性上我没见有任何问题。
6、在麦咖啡里把绝大部分的端口都关掉,只留80,20,21,1433,3389,那当然如果你修改这些应用程序需要的端口(我觉得这一点有必要),你就要放开你所对应的,提醒一点,不要与第一步里的相冲突,不然你到死也不知道程序用不了是什么原因,不要怪我没提醒你啊。
服务器上不要装SERV-U之类的FTP软件,就是装了,你上传下载完马上停掉,我总觉得有的人的服务器被攻击与这个有关。我没用这个SERV-U,用的是在网上下的一个很小的软件FTP-SERVER,要用要开随便,很方便的。
有的人在服务器上装天网以及其它的防火墙之类,这里我要讲一下,如果你可以亲手摆弄的你服务器,你可以装,因为调试方便啊。如果不能这样,你最好别装,一旦把端口封死了,机房都很难调试回来,弄不好就要重装系统了。而且装上了这类防火墙,会弄得服务器网络性能低下,软防是代替不了硬防的。而且前边我们这方面工作基本做好,虽然比不上天网,费尔之类,但也不差啊。
还要养成一个好习惯,远程连接上服务器之后先要查看一下有哪些用户与你的服务器连接上了,计算机里是不是添加了一些黑客用户。我上次被入侵时几乎在第一时间就发现了,没造成不可挽救的后果。
单列一行,修改计算机管理员名字,改一个超长密码,设置密码锁定时间是非常有必要的。
最后讲备份,网站的数据库要经常备份,不能放在服务器上,放到另一个安全的地方。系统可以装一个一键备份的软件,你远程一样备份还原,备份还原之后服务器可以自动重启,不需要你人工干预。
网站的备份也要有计划,但做好这个你要有条件。数据库出了问题,你马上转移一下,基本不会影响网站运行;网站出了问题也马上可以指到另一台服务器或空间,其实这个并花不了多少钱,现在空间便宜,效率是低一点,但不会影响搜索的收录。象我的站我是这样做的,我是ASP+SQL的,在页顶加上js容错码,把页面上所有的涉及到调用数据库的接口都用链接指向另一个动态页面,这样保证我的静态页面离开数据库能够独立运行,把网站的文件打个包,送到另一个空间里,出了问题修改一下A记录转移一下,最长不过半个小时就能生效,留给了我们充裕的处理问题时间。
A5创业网 版权所有