域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的飛速發(fā)展，各種各樣的網(wǎng)站如雨后春筍般冒出來(lái)，這些網(wǎng)站給廣大網(wǎng)民生活資訊和在線學(xué)習(xí)提供了很多便利，但是林子大了什么鳥(niǎo)兒也就有了，一些無(wú)良黑客為了一己私利到處尋找有漏洞的網(wǎng)站掛馬，肆意盜竊用戶的各種資料及賬號(hào)密碼非法牟利，大量用戶染毒成為他們牟利的“犧牲品”。那些電腦中了木馬病毒的網(wǎng)絡(luò)用戶，他們的銀行帳號(hào)等信息遭到極大的威脅。

很不幸，我的一個(gè)做了三年多的網(wǎng)站也被掛馬了。一天早上我打開(kāi)網(wǎng)站準(zhǔn)備更新文章的時(shí)候，網(wǎng)頁(yè)中間彈出了一個(gè)360網(wǎng)盾的提示框，提示已攔截惡意網(wǎng)頁(yè)，我再在百度輸入我的網(wǎng)站，發(fā)現(xiàn)在百度搜索出來(lái)的結(jié)果后面都帶有一個(gè)網(wǎng)站被掛馬的提示(如圖)，

任何一個(gè)人看到掛馬的網(wǎng)頁(yè)都會(huì)馬上關(guān)閉，以后誰(shuí)還敢進(jìn)入我的網(wǎng)站啊，趕快清馬吧!我用FTP把網(wǎng)站首頁(yè)的代碼下載到本地來(lái)，在網(wǎng)站底部找到了一段網(wǎng)馬的代碼，然后把這段代碼去掉，重新上傳代碼到空間去，傳好后我用360網(wǎng)盾測(cè)試了一下，檢測(cè)結(jié)果顯示首頁(yè)正常無(wú)報(bào)毒提示，我想這下應(yīng)該沒(méi)問(wèn)題吧!誰(shuí)知道到晚上的時(shí)候，我打開(kāi)網(wǎng)頁(yè)又彈出了360的報(bào)毒提示框，顯示網(wǎng)站又被掛馬了，我趕快把這個(gè)問(wèn)題向空間商技術(shù)員反映了，叫他們查查服務(wù)器是不是有什么漏洞，他們檢查后告訴我說(shuō)服務(wù)器沒(méi)問(wèn)題，同一個(gè)服務(wù)器的其它網(wǎng)站都正常，只有我這個(gè)網(wǎng)站被掛馬，應(yīng)該是網(wǎng)站有漏洞被黑客利用了。我一向規(guī)規(guī)矩矩做站，老老實(shí)實(shí)做人，怎么黑客就盯上了我的網(wǎng)站呢?看來(lái)黑客的道德真是敗壞極了。

我這個(gè)網(wǎng)站做了三年多了，以前沒(méi)被掛馬前從來(lái)也沒(méi)檢查網(wǎng)站有什么漏洞，這次如果不把網(wǎng)站的漏洞找到并堵上那網(wǎng)站以后將永無(wú)寧日了。我先把網(wǎng)站后臺(tái)的默認(rèn)地址修改了一下，并修改了管理員登錄的用戶名和密碼，接著修改了數(shù)據(jù)庫(kù)的用戶名和密碼，并特意在數(shù)據(jù)庫(kù)的用戶名里面加了幾個(gè)特殊的符號(hào)。最后我登錄網(wǎng)站空間的管理后臺(tái)，找到“設(shè)置FSO權(quán)限”的選項(xiàng)，關(guān)閉了網(wǎng)站的FSO權(quán)限，再找到“設(shè)置寫(xiě)入權(quán)限”的選項(xiàng)，關(guān)閉了網(wǎng)站首頁(yè)文件的寫(xiě)入權(quán)限，最好我把FTP的密碼也修改成比較復(fù)雜的密碼了。

做完這些后，我用FTP把網(wǎng)站的首頁(yè)備份文件重新傳到網(wǎng)站空間去，傳好后我用360網(wǎng)盾和金山網(wǎng)盾都測(cè)試了一遍，顯示網(wǎng)頁(yè)正常，再?zèng)]出現(xiàn)報(bào)毒的提示了，我持續(xù)觀察了一個(gè)星期，這個(gè)網(wǎng)站再也沒(méi)報(bào)過(guò)毒了，終于徹底解決了這個(gè)問(wèn)題。經(jīng)過(guò)這個(gè)事件，我總結(jié)出如下幾個(gè)經(jīng)驗(yàn)：

1、FTP密碼盡量設(shè)置得復(fù)雜點(diǎn)，密碼里面最好包含大寫(xiě)和小寫(xiě)的英文字母和數(shù)字以及特殊字符(如c7b64￥8f63ce687&)，這樣黑客用弱口令掃描工具就掃描不到你的FTP用戶名和密碼了。

2、網(wǎng)站后臺(tái)不要用默認(rèn)路徑和管理員賬號(hào)及密碼，現(xiàn)在網(wǎng)絡(luò)上有很多通過(guò)默認(rèn)路徑猜解后臺(tái)帳號(hào)密碼的工具，如果不修改默認(rèn)路徑和管理員賬號(hào)和密碼，一些懷有不良企圖的人很容易猜解到你網(wǎng)站后臺(tái)賬號(hào)和密碼進(jìn)入你網(wǎng)站的后臺(tái)進(jìn)行非法操作，也就給你網(wǎng)站安全留下了一個(gè)隱患，所有務(wù)必及時(shí)修改網(wǎng)站后臺(tái)默認(rèn)路徑及管理員賬號(hào)和密碼。

3、更改網(wǎng)站數(shù)據(jù)庫(kù)名,如果是ACCESS數(shù)據(jù)庫(kù)，那文件的擴(kuò)展名最好不要用mdb，改成ASP的，文件名也可以多幾個(gè)特殊符號(hào)。

4、網(wǎng)站的注入和跨站漏洞也是黑客經(jīng)常利用的漏洞。檢查一下網(wǎng)站有沒(méi)有注入漏洞或跨站漏洞，如果有的話就馬上打上防注入或防跨站補(bǔ)丁，使黑客無(wú)可乘之機(jī)。

5、防患于未然，寫(xiě)入一些防掛馬代碼，讓框架代碼等掛馬無(wú)效。

6、最好關(guān)閉網(wǎng)站的FSO權(quán)限。

7、設(shè)置好網(wǎng)站各個(gè)文件夾的讀寫(xiě)權(quán)限。

在此筆者提醒一下各位站長(zhǎng)，盡量不要下載網(wǎng)上的那一些免費(fèi)程序，那些程序中大部分都留有后門(mén)，有經(jīng)濟(jì)能力的盡量購(gòu)買(mǎi)商業(yè)版的程序或自己開(kāi)發(fā)專用的網(wǎng)站程序。專題配音站長(zhǎng)愿和各位站長(zhǎng)朋友共同探討網(wǎng)站網(wǎng)站安全的對(duì)應(yīng)之道。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！