网络安全 频道

网站缘何被黑 管理员该如何应对?

    【IT168 专稿】如果你拥有自己的网站,可能会面临被黑的惨景;如果没有,可能你想登陆某个网站却怎么也打不开,那么这个网站也许暂时被黑掉了……,实际上网站无法登陆的原因有很多,包括人为和非人为的:如果是黑客攻击或者是管理员操作不当,那我们可以将其定位人为因素,而软件或者硬件出现故障或使用不当则视为非人为因素导致网站无法正常运行。不管是不是以上这两种情况,如果网站出现异常总会给站长和网友带来诸多不便,更有甚者可能会因为网站被黑而造成大量的经济损失,所以如何使网站被黑的可能性降至最低是每一个网站安全管理员所面临的头等大事。

    网络的开放性对网络安全的威胁日益严重,如黑客的入侵、机器被种植木马、病毒、蠕虫、冲击波等。根据国家计算机网络应急技术处理协调中心(CNCERT)的最新消息表明,2007年4月1日至30日,我国大陆地区被篡改网站的数量为6205个,较上月增加了1525个。为了上网安全、个人信息的保密性、保障上网资源不被非法占用等,应该对网站电脑安全方面做好保护策略。

    重中之重 修复服务器漏洞

    因服务器存在系统漏洞而导致被黑客攻击的情况比比皆是,全球著名的微软公司网站曾经就因为SQL服务器存在漏洞遭黑客入侵。一般情况下,除了对服务器本身进行攻击和破坏以外黑客们通过插入特定HTML代码的方式,可以成功入侵了SQL服务器,并且对网页更新系统进行破坏,对于服务器漏洞的检查作为网站管理员至关重要,这里我们可以借用黑客们使用的一些入侵工具来检测自己网站服务器的漏洞,其中就包括WEB漏洞扫描软件、pppoe服务器漏洞扫描工具以及系统漏洞扫描软件等工具查找网站存在的漏洞然后利用修复工具进行修复。当然除了寻找代码进行入侵破坏服务器导致网站无法正常运行之外,黑客们惯用的伎俩还有DOS以及DDOS方式进行对网站的攻击。

    DDOS的中文名叫分布式拒绝服务攻击,俗称洪水攻击。这种攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的攻击效果是非常明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了,目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的网站主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。简单说如果计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。

    目前遭到DDOS攻击的网站十分普遍,其原因有二:一、网站管理员不善管理,对网站服务器的安全意识浅薄,没有做好相应的防护措施;二、如今现成的DDOS攻击工具很多,也十分容易掌握,无需太多理论知识,只要有一两次上手经验就可以轻松驾驭攻击软件。其实防御DDOS攻击的方法并不困难,一般情况下,利用软件就可以很好的进行对DDOS攻击的抵御。通常宽带接入都可通过Web/Telnet方式来进行本地或远程管理,许多恶意的攻击者都是指定其中几个默认的端口,通过扫描工具对某个IP地址段进行扫描再确定攻击目标。而我们的ADSL会开放端口80、21和23等,所以应重点注意这些端口,可以即时发现入侵情况并加以防范。

    一些个人或者小型网站在没有能力购买硬件防火墙的情况下可以选择安装网络安全软件防火墙来防治攻击,选用国内外知名的防火墙如:天网,卡巴斯基防火墙等都是非常优秀的。为打造更安全的防火墙设备,只需开放必要的端口即可。因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放,黑客就会利用扫描工具扫描那些端口并进行恶意入侵,这对安全是一个严重威胁。一般情况下我们应该把以下端口全部关闭:TCP 21,22,23,25,53,35,138,139,445,1025,3389,4444,4489;67,137,161。关于UDP一般只有腾讯的OICQ会打开4000或者是8000端口。

    系统设置 抵御内鬼

    对于网站来说,黑客通过局域网内部进行攻击是十分普遍的,所以首要就是查看网站局域网内部计算机的共享情况并将其关闭共享。运行-cmd-输入net share 查看共享,net share **$ /delete(**代表共享目录)来删除共享。这样能有效的防治局域网病毒通过共享目录影响到开启共享的机器。删除IPC$空闲链接和关闭个人用不到的端口,如139、135端口等,禁用这些端口能有效的防治黑客利用端口寻找漏洞进行攻击。图1、

检查共享文件夹

    关闭远程桌面,给网站内部计算机设置密码。密码的安全系数也需要考虑,不要用简单的英文或数字,推荐用6位以上无规则的字母加符号及数字。在下载的时候切换用户,保证在管理员离开的时候机器需要密码才能登录,防止黑客密码渗透。不给故意捣乱的人和想通过远程桌面来控制机器的人有机可乘。做好内部防御,管理好服务项目。关闭一般用户不需要的服务,如:通知选定的用户和计算机管理报警、使用局域网分布式链接跟踪客户端服务、为在同一台计算机或不同计算机上运行的程序提供动态数据交换等。

    正确配置组策略提高安全砝码

    网站内部计算机对本地策略和用户权限的分配也非常重要,对本地策略进行合理管理,设置将比较危险的网络访问删除,免除不必要的安全威胁,如把账户里的重命名来宾账户guest改换其他名称,可以让黑客去猜测来宾用户名是什么而降低了风险。用户权限是超级管理员最高,把超级管理员的账户也进行修改。对用户权限的设定也非常重要,就算黑客拿到其他用户权限,他也无法像安装、运行操控程序。用户与组策略的管理和终端服务配置也是安全威胁的来源之一。注意计算机的本地用户和组用户权限的分配,删除不必要的本地用户,留下更名后的超级管理员权限。终端服务如远程控制关闭、网卡的连接数设置为0、加密级别设置为高。图2、

组策略设置管理

    杀毒软件不可缺少

    在做好防火墙防护后要进行有效的病毒和木马防治,对病毒的防治需要借助第三方的杀毒软件工具。目前很多厂商的杀毒软件都有比较强悍的实时监控功能。如国外的卡巴斯基,NOD32;国内的瑞星2007、KV2007等杀毒软件都具有不错的杀毒功能和防护功能。在浏览网页、查找资料的时候难免会进入一些不正规的网站,感染病毒的几率都比较大。对于病毒木马而言,就像"过街老鼠",杀掉它毫无疑问。当然这里笔者还是建议一些中小网站选用网站版杀毒软件,虽然在价格上稍微贵一些,但是在整体的安全防护方面可以做到万无一失。图3、

瑞星杀毒软件网站版

    在装上杀毒软件后要进行对杀毒软件病毒库及时升级,并全面扫描磁盘,以防机器上有病毒存在。及时升级病毒库能有效的防御新生病毒。目前杀毒软件都有注册表保护,安装程序的时候,如果写入注册表并执行开机启动项目,一般杀毒软件都会有所提示,只有在用户允许的情况下才可将注册表进行修改,装上杀毒软件使网站内部计算机安全更进一步。

    笔者建议

    提高网站服务器安全的方法还有很多,及时更新系统补丁,修补系统漏洞。我们可以在系统属性中开启"自动更新"功能,及时下载安装系统补丁,修补系统漏洞,让黑客无漏洞可寻,让病毒无法入侵。通过上述设置,可以有效的保护网站内部电脑的使用安全。养成定期扫描病毒的习惯,可以将电脑安全性有效提高。为了使网站网络更加安全,笔者建议网站内部工作人员尽量少进甚至不进入一些陌生的网站或接受并打开一些垃圾邮件的链接,对杀毒软件和防火墙需要及时更新。做好这些可以把个人信息、网站资料、邮箱账号、即时通信软件账号等被盗的可能性降到最低,提高上网效率,充分保证网站网络的安全。

0
相关文章