关于网站安全的一点心得，和大家分享下

1. 网站要备份，异地备份。不想花钱的方法是在本地 linux 电脑上定时运行 rsync
2. 用 Acunetix 软件扫描网站
3. 服务器取消 ssh 密码登录
4. MySQL 不用 root
5. 内部服务设置 IP 限制

欢迎补充交流。

---
这是我之前发的帖子： https://www.v2ex.com/t/548308#reply17

后续就是黑客要比特币付款，不敢露出真面目。感觉上黑客来自土耳其。再后来我们一个数据库被删掉，我们也就断了和黑客交易的想法。

然后就是内部查阅所有代码，修复了所有 SQL Injection 漏洞，各种 IP 限制等，目前还算平稳。

对于在那个帖子说给点钱报答人家的，我也不骂你，祝你好运。

akira

2019-04-25 14:55:49 +08:00

3. 默认 22 端口修改掉，并使用密钥登陆，已经可以挡掉 99%的扫描了
4. 3306 端口永远只对内网开放. 或者说，对外的端口应该只有 ssh/ web，其他端口不应该对外.

xabc

2019-04-25 14:57:27 +08:00

楼主说句真心的，你这样的总结没有多少实际意义；
我把网站安全做一个解决方案出来 xabcloud.com 欢迎批评

xabc

2019-04-25 14:59:26 +08:00

@akira 使用密钥登录了，何必多此一举更改大家公认的 22 标准端口，导致每来一个新员工，都要沟通一次国际公认的端口问题，个人觉得不应该破坏国际公认的标准，这种方案属于掩耳盗铃

CallMeReznov

2019-04-25 15:03:52 +08:00

1.改端口
2.上 fail2ban
3.禁密码用密钥

99.99999%的问题会被隔绝.再出问题基本上那就是你本身业务的问题那就没办法了,其他都是人为的,最有问题的也是人.
勒索病毒我也中过(/t/536495).
我安全什么的都做好了,结果没想到病毒竟然是从运维人员自己的机器上传播的,你还说什么呢?

WordTian

2019-04-25 15:18:00 +08:00

web 网站安全是个大方向，现在不断的有新漏洞被曝出来，楼主说的只是其中比较基础的防御手段。
个人站想要把安全做到位还是挺难的，毕竟术业有专攻，一般大点的公司都有信息安全部门专门负责这个事情。
尤其是这两年网络安全法和等级保护制度一出，直接促进了整个信息安全行业的发展。
感觉之后随着各项基础设施对网络的依赖逐渐增强，网络安全这方面的问题会愈演愈烈

mytsing520

2019-04-25 15:21:59 +08:00

再坚固的堡垒也有从内部被攻破的一天。。

但我个人同意更换 SSH 端口，不认为这是没必要的

oIMOo

2019-04-25 21:43:29 +08:00

好奇问一下：
是不是很难发现有恶意代码潜伏？

更详细的描述就是：有一天发现服务器被黑了，你恢复了备份，然而这个备份里可能已经有攻击代码了，只不过没发作。
这种情况是不是很难发现？

totland

2019-04-25 22:45:47 +08:00

有没有扫 Oracle 的工具？
过几天甲方要拿绿盟扫我们的 Oracle，我想用别的工具自己先扫一遍。

tuding

2019-04-25 23:01:45 +08:00

改 22 端口
禁止 root 账号远程登录
强口令
只开放业务端口和 ssh
业务用专门的账号启动并且 nologin

以上能解决 90%的攻击，除非有人定向攻击你

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/558594

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.