网站被黑是很多站长非常头疼的事情,其实这个和程序本身的安全性、服务器的漏洞及某些设置不当等综合因素有关。目前可以有效提高网站web服务器的安全性是使用nginx,使用Linux系统。
但是有时候即使使用Linux+nginx照样还是被黑,所以网站的安全性只是一个相对的说法,没有绝对的安全。
有非常多的站长喜欢使用win系统,但是由于win系统的确纯在一些相对容易被攻破的漏洞,加上上默认的iis非常容易劫持修改,这使得那些不论安全性有多好的程序网站都被挂马,比如WordPress、discuz、dedecms等,网站程序本身的一些漏洞其实是可以禁止的,主要是一些设置和合理即可解决。
前几天在一个群里面,有个小伙伴问怎么解决网站被黑的问题,她说系统是win server 2008 r2,iis Web服务器,把系统重装了,安装了安全狗等,杀毒也弄了,服务器密码也改了,没过一天网站首页还是被修改了,网站就像是hiker他家的一样,想来就来,苦不堪言。
而且网站iis的默认文档总是被修改,还被解析到其他网站,就像是服务器管理员一样,想干啥就干啥,各种程序bug修复和排查也都做了,仍然无济于事。
其实在Linux系统上使用Apache也出现过类似的情况,并不是说使用Linux就不会被黑了。那么该如何解决这样的问题,建议更换web服务器以提高安全系数。
不论使用win还是Linux系统,要把系统升级到最新的版本,比如win最低也升级到windows server 2016或2019版本,有些空间商仍然在使用win2003等这样的系统,安全性本身就很低,iis6/7要升级到8以上。
如果你习惯使用win系统,也没有必要非得换Linux,只要升级到最新版本的win即可,原来使用的Apache或iis建议直接将其卸载,从系统中彻底删除,安装nginx来作为web服务器,nginx在win和Linux上都是可以完美运行的,只不过在win系统上比Linux上稍微差一些,但这并不影响使用。
如果不会搭建nginx环境,现在有很多的集成环境如宝塔、护卫神、phpenv等都是可视化的界面操作,这些都是能够直接在服务器上安装使用的,其安全性还是非常高的,主要是这些集成环境都可以任你选择使用Apache还是nginx。
nginx
这里顺便提一下,某些PHP集成环境时不能直接用于服务器上的哦,我看见有部分站长把PHPnow、PHPstudy这类本地开发集成环境用于服务器上,这是不安全的,原因是没有做相关的安全设置,用于本地写个前端模板很靠谱,但是在服务器运行很危险。
不管你使用集成环境还是手动单独安装的PHP环境,是win还是Linux系统,在使用时要检查一下php.ini这个文件里面的设置,几乎很少有人注意到php.ini文件里面的配置会带来安全隐患,如果你无意看到本文建议收藏备用。
在php.ini文件中,这三处设置一定要改,很有可能你的程序很安全、系统也很安全,但是由于配置了不合理的PHP解析方式,hiker找到了漏洞,这个文件很少有人关注但作用很大。
一、expose_php = Off才是正确的,这里默认是on,显示PHP的版本号,我们需要禁止,即使hiker知道是PHP程序但是不知道我们使用的是PHP哪个版本,这样增加被黑的难度。每一个版本的PHP都会有hiker研究出来的一些漏洞,所以不要直接把版本号显示出来。
二、URL重定向跨域执行PHP文件,设置cgi.force_redirect = 0,默认这里的数字是1允许跨域请求并执行PHP文件,默认为1时,比如host/rg=host/ma.php这样的网址,如果hiker将木马文件传到你的某个路径之后,执行通过上面的网址重定向即可运行ma.php这个文件,所以设置cgi.force_redirect = 0之后,即使被上传了木马,也是不可运行的文件。
有时候网站被黑了,你也杀毒清理了木马文件,但有的木马隐藏得很好,所以没有删掉,你改服务器密码,各种重置都没有用的,因为只要重定向运行这个文件,很快你的网站又被黑了。
三、设置cgi.fix_pathinfo=0,这里默认是1要做修改。作用是禁止解析非法的PHP文件,被黑过的网站站长们应该对/1.jpg/2.php这个很熟悉吧,hiker把木马伪装成一张图片上传然后再运行木马文件,图片后面的PHP文件默认情况下是运行运行的,所以要设置为0来禁止这种看起来很奇怪的PHP文件,对于正常的网站都不会存在这样的路径,设置好即可。
这个和使用的操作系统、web服务没有关系,只要是PHP程序都应该检查php.ini文件里面的这3项设置是否正确,有时候真的不是网站程序的安全问题,如果你的网站没有被黑过也注意检查,谁知道明天会不会被黑呢,防患于未然是好事。
举报/反馈
681
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
