有人愿意做付费的服务器安全维护吗？

公司的网站（discuzX程序，权重较高，行业门户），放在linode上，这几天可能是被注入了木马，然后接着提权，先是删部分mysql数据表，接着直接删可写目录的文件，服务器的出入口流量也大幅增加，感觉像竞争对手蓄意的破坏。

因为我们公司IT部门是花钱的部门，在运维和安全这块一直是短板，即使网站规模扩大也没有投入太多人员和精力去做。

如果有愿意帮忙维护公司网站安全的牛人，我们提供付费服务。最好是品行端正没有其他要求（为什么提这个呢，不要误解，因为之前有黑客黑站以后找到我，说帮维护网站，但要求挂他的客户的链接）

不熟悉安全行业，google好像也找不到类似的公司……可能这个行业的人都不愿意抛头露面吧

imnpc

2015-05-06 21:50:57 +08:00

我只能提点建议，做安全维护太累，钱少了也没人愿意做

1.不要采用那些免费的一键安装环境，采用DA面板 CGI模式安装php 后台可以用自带的备份系统每天备份同时每个站点都是严格的权限分离，DA国内大约350~400 永久授权.

2.论坛附件采用FTP或者阿里云又拍云七牛云这样的存放模式

3.严格按照DZ官方要求设置每一个目录权限

4.安装流量统计系统统计每日流量

5.服务器采用密钥文件登录

GeekTest

2015-05-06 21:53:07 +08:00

出门左转，各家的CDN，不谢

unixbeta

2015-05-06 21:59:34 +08:00

php权限最重要

可以联系我们

willis

2015-05-06 22:24:30 +08:00

不介意是个人的话，可以联系我，六年运维

FifiLyu

2015-05-06 22:46:02 +08:00

出问题了，才想起找专业运维。这是个坑啊！
说白了，就是不重视。临时找，费用肯定不便宜，钱又少没人做。

scys

2015-05-06 22:52:46 +08:00

感觉怎么说都别扭~可是又想说点啥。
来个酱油吧：

1. 和团队合作靠谱程度高；
2. 个人合作，短中期都行，长期难度高；
3. 觉得你说明的环境，很难解决实际问题，主要是不被重视。

willis

2015-05-06 22:55:47 +08:00

补充下一楼的，说下我们生产中的配置
1.nginx lua-waf 配合limit-req limit-conn防web攻击和cc
2.严格限制目录权限，关掉不必要的php函数和扩展，设置好open based dir防跨目录
3.系统内核打好䃼丁，把nginx php-fpm用chroot降权运行，设置最小权限
4.任何密码都不要用弱口今，用iptables 限制好进出的流量
5.dz不安全多数是插件的问题，配置可以按照官方文档检查下
6.备份备份备份
其实设置不多，楼主自己配置也花不了多少时间，还可以自我提高

Phant0m

2015-05-06 22:56:50 +08:00

服务器监控搞起来，做好日志采集，定期备份检查，关注Web安全动向，提高安全意识。
具体细节如果需要可以联系我，我给你一些规范文档

tangooricha

2015-05-06 23:15:42 +08:00

LZ就是典型的平时不烧香，临时抱佛脚，关键是还分不出哪只脚是佛的那种类型！

my101du

2015-05-06 23:31:27 +08:00

@imnpc
1. 我们安装的军哥一键lnmp，因为发现运维同事自己编译的环境，要么版本有问题对web程序支持不好，要么后来才发现都没有写disable_functions 的……，希望能把更多精力放在业务上
2. 几百G的文件，要好多钱，公司IT部不是赚钱部门，呵呵。不过接下来我就算顶着压力也要上云存储了
3. 都设置了，文件444，目录555，可写的附件目录755，应该是最小了
4. 这个用监控宝或自己iftop看的，可能不是很及时
5. 谢谢提醒，之前没注意

@GeekTest
之前我们用过加速乐、确实看到每天帮阻断了很多扫描和攻击，但是因为机器在国外，加了CDN后，反而有时候百度蜘蛛会说无法连接你的网站（特别有时候晚上），运营部同学说会影响收录于是关闭了。现在已经重新加上了CDN，但事情已经发生了，黑客好像都已经拿到了更高权限了

@FifiLyu
唉……理解下IT部门是公司非赚钱部门的打工狗吧，不是所有公司都是BAT那么有钱和配备齐全……

@willis
您说的，部分做了，但没有做的这么全面。您应该对discuz了解很多吧。
可以联系我 24七9八4五191，请赐教，费用方面详谈，和boss讨论下，双方都觉得合适就行

@Phant0m
谢谢您的热心，这些文件我有搜集过，但确实没有这么多精力，特别有时候人员变动，招聘运维很麻烦（我是偏产品的所谓部门主管，专业能力不强）

my101du

2015-05-06 23:32:08 +08:00

@tangooricha 批评得是，虚心接受。

Showfom

2015-05-07 04:05:34 +08:00

一个网站一个VPS
可以最大程度上避免跨站攻击

Septembers

2015-05-07 05:19:27 +08:00

@Showfom 前端再布置个反向代理记录日志，妥妥的

Septembers

2015-05-07 05:23:50 +08:00

安全临时做做不起来，
安全是长期投入而且看不见回报的感觉很透明，
但是不做，出了事又觉得安全很重要，
然而亡羊补牢为时以亡

ryd994

2015-05-07 05:41:20 +08:00

@my101du 为何不用官方rpm？即使有特别需求，也应该rebuild官方SRPM
加速乐报的那些扫描攻击之类的都是很弱智的随便乱扫的，参考安全卫士报的都是什么级别的漏洞，小白产品都一样
安全有多大用只有做安全的自己知道，无过即是大功

sphawkcn

2015-05-07 09:40:41 +08:00

@my101du 看到用的一键**，而且未使用密钥登录，知道我什么想法吗？攻破是迟早的事。

can

2015-05-07 10:03:04 +08:00

小白的话装个安全狗就把这问题解决了，有那么麻烦？

mcone

2015-05-07 10:05:35 +08:00

关注。个人建议楼主找一家专业的企业或者团队负责这个好一点，签个合同啥的；找个人的话，总觉得靠谱的可能性比较低。如果楼主找到了欢迎分享下

这方面确实是很大的问题，大家都不重视呢。平时没问题的时候boss认为是理所应当了，设置不愿意给运维发钱；出了问题想找人了，都已经成了烂摊子了，谁愿意去接手（并且估计给的钱还是不会多）。

找“只差一个安全运维方面程序猿”的，比那些找“只差一个创业程序猿”的，不懂还舍得花钱的小白只会更多。

大部分无脑boss还是只看表面，喜欢头疼医头脚疼医脚的那种，而不是防微杜渐从不出错的那种。悲哀。祝这些boss早日玩垮自己的站点 [最后一句好像有点毒，想想只送给那些罪大恶极的吧

mcone

2015-05-07 10:08:25 +08:00

Para.2 设置不愿意 -> 甚至不愿意
Para.3 不懂还舍得花钱的小白 -> 不懂还**不**舍得花钱的小白

唔，曾经被迫干过俩月类似运维的岗，电话24h不关机那种，后来果断走人了。拿着卖白菜的钱，操着卖白粉的心，开什么玩笑。

看到这个话题有点小激动，嗯嗯，冷静下。

后来那家好像网站搞成纯html还被挂了一堆黑链，嗯

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/189036

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.