加固網(wǎng)站服務(wù)器避免被黑客攻擊的方法:1����、防止數(shù)據(jù)庫(kù)被非法下載,需要網(wǎng)站服務(wù)器添加mdb的擴(kuò)展映射進(jìn)行防御�����;2�����、防止網(wǎng)站服務(wù)器上傳惡意文件或程序���,從而有效降低網(wǎng)站服務(wù)器被攻擊的風(fēng)險(xiǎn)�����。
具體內(nèi)容如下:
1����、防止數(shù)據(jù)庫(kù)被非法下載
應(yīng)當(dāng)說����,有一點(diǎn)網(wǎng)絡(luò)安全的管理員,都會(huì)把從網(wǎng)上下載的網(wǎng)站程序的默認(rèn)數(shù)據(jù)庫(kù)路徑進(jìn)行更改�����。當(dāng)然也有一部分管理員非常粗心����,拿到程序直接在自己租用的服務(wù)器上進(jìn)行安裝,甚至連說明文件都不進(jìn)行刪除����,更不要說更改數(shù)據(jù)庫(kù)路徑了�����。這樣黑客就可以通過直接從源碼站點(diǎn)下載網(wǎng)站源程序����,然后在本地測(cè)試找到默認(rèn)的數(shù)據(jù)庫(kù)����,再通過下載數(shù)據(jù)庫(kù)讀取里面的用戶信息和資料(一般是經(jīng)過MD5加密的)找到管理入口進(jìn)行登陸獲得webshell。還有一種情況是由于程序出錯(cuò)暴出了網(wǎng)站數(shù)據(jù)庫(kù)的路徑���,那么怎么防止這種情況的發(fā)生呢?我們可以添加mdb的擴(kuò)展映射����。
打開IIS添加一個(gè)MDB的映射�����,讓mdb解析成其他下載不了的文件:“IIS屬性”—“主目錄”—“配置”—“映射”—“應(yīng)用程序擴(kuò)展”里面添加.mdb文件應(yīng)用解析�����,至于用于解析它的文件大家可以自己進(jìn)行選擇,要訪問數(shù)據(jù)庫(kù)文件出現(xiàn)無法訪問就可以了�����。
2����、防止上傳
針對(duì)以上的配置如果使用的是MSSQL的數(shù)據(jù)庫(kù)����,只要存在注入點(diǎn),依然可以通過使用注入工具進(jìn)行數(shù)據(jù)庫(kù)的猜解���。倘若上傳文件根本沒有身份驗(yàn)證的話�����,我們可以直接上傳一個(gè)asp的木馬就得到了服務(wù)器的webshell���。
對(duì)付上傳,我們可以總結(jié)為:可以上傳的目錄不給執(zhí)行權(quán)限����,可以執(zhí)行的目錄不給上傳權(quán)限�����。Web程序是通過IIS用戶運(yùn)行的���,我們只要給IIS用戶一個(gè)特定的上傳目錄有寫入權(quán)限,然后又把這個(gè)目錄的腳本執(zhí)行權(quán)限去掉����,就可以防止入侵者通過上傳獲得webshell了。配置方法:首先在IIS的web目錄中���,打開權(quán)限選項(xiàng)卡�����、只給IIS用戶讀取和列出目錄權(quán)限���,然后進(jìn)入上傳文件保存和存放數(shù)據(jù)庫(kù)的目錄,給IIS用戶加上寫入權(quán)限���,最后在這兩個(gè)目錄的“屬性”—“執(zhí)行權(quán)限”選項(xiàng)把“純腳本”改為“無”即可�����。
最后提醒一點(diǎn)���,在你設(shè)置以上權(quán)限的時(shí)候���,一定要注意到設(shè)置好副目錄的繼承。避免所做的設(shè)置白費(fèi)�����。
