WIN服真麻烦,每天都会被上传好多脚本,然后网站上都是bo彩一类的

kukou 1个月前 96

WIN都是开箱即用,根本就没有注重过安全这块,因为平时自己接了一些私单来做,客户都是用些WIN服,我也不能给别人重新安装成LINUX服,只能直接把程序上传到WIN服上,但是近来每天都会收到客户反应,网站有时候打开很慢,网站文章被百度收录,都提示安全风险,有些甚至直接显示bo彩一类的标题,这一看,就是网站被攻击了,被上传了一些脚本程序。

以前没有使用过WIN服,也不知道怎么设置才是最安全的,百度和谷歌了一下,收集了下面一些。

(1)新建用户vhost_usr,属于IIS_IUSERS组。
(2)新建应用程序池app1,使用vhost_usr用户绑定。
(3)新建网站website1,使用vhost_usr用户绑定。
(4)D:\www\website1 目录权限,只允许vhost_usr system administrators 3个用户读写。
(5)D:\www 只允许system administrators2个用户读写;IIS_IUSERS用户组读,但不能写。
(6)在需要禁止执行权限的目录里新建web.config,并将下面命令写入文件中。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <handlers accessPolicy="Read" />
    </system.webServer>
</configuration>

(7)将防火墙规则全删除,创建需要放行的软件或端口。
(8)运行服务器环境的软件使用独立的用户来运行,不能使用超级管理员来运行。
(9)定期更新WIN服,将软件或环境随时保证在最稳定状态。
(10)关闭服务器在开发时的调试模式,当页面报错时不至于显示详细错误,暴露路径。
(11)给可以设置帐号密码的软件如mysql/redis等增加授权机制。

目前只收集到这些,如果有哥们知道更好的,麻烦回复一下。

0 人点赞  ∙  0 人收藏  
加入收藏 点赞 我要评论

目前共有 3 条回复

lydia
lydia 29天前

禁止访问目录下指定后缀名的文件,指令如下:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <security>
            <requestFiltering>
                <fileExtensions>
                    <add fileExtension=".asp" allowed="false" />
                    <add fileExtension=".php" allowed="false" />
                    <add fileExtension=".jsp" allowed="false" />
                </fileExtensions>
            </requestFiltering>
        </security>
    </system.webServer>
</configuration>
sgkanz
sgkanz 29天前

程序本身的问题都没列出来呢

aerph
aerph 26天前

WIN服要注意的地方太多了,除了设置以外,安装一些防御软件增加一下。