关于网站安全的一点心得，和大家分享下

2019-04-25 14:43:27 +08:00

ioioioioioioi

1. 网站要备份，异地备份。不想花钱的方法是在本地 linux 电脑上定时运行 rsync
2. 用 Acunetix 软件扫描网站
3. 服务器取消 ssh 密码登录
4. MySQL 不用 root
5. 内部服务设置 IP 限制

欢迎补充交流。

---
这是我之前发的帖子： https://www.v2ex.com/t/548308#reply17

后续就是黑客要比特币付款，不敢露出真面目。感觉上黑客来自土耳其。再后来我们一个数据库被删掉，我们也就断了和黑客交易的想法。

然后就是内部查阅所有代码，修复了所有 SQL Injection 漏洞，各种 IP 限制等，目前还算平稳。

对于在那个帖子说给点钱报答人家的，我也不骂你，祝你好运。

5162 次点击

所在节点

程序员

34 条回复

ioioioioioioi

2019-04-26 09:14:33 +08:00

@oIMOo 我们网站项目代码有 git，通过 git status 发现有文件被篡改了

Myprincess

2019-04-26 10:22:25 +08:00

域名被劫持怎么弄呀。我的 8 个域名被劫持了。全部转到奥们 X 场。

NjcyNzMzNDQ3

2019-04-26 10:47:12 +08:00

@ioioioioioioi 同有 git，今天立马禁止了，不禁止后果太严重了

NjcyNzMzNDQ3

2019-04-26 10:50:31 +08:00

@Myprincess 如果 dns 解析正确的话，试试禁用 js 看跳转不，如果还跳转那就是服务器代码的问题

Myprincess

2019-04-26 10:54:01 +08:00

@NjcyNzMzNDQ3 就是用的是 WP,后台全部被改,然后输入域名全部跳转到别人的网站上去.服务器上没有问题,怀疑是网站被注入木马.很多次了.腾讯老是打电话过来说我的网站有问题.

ioioioioioioi

2019-04-26 11:06:24 +08:00

@NjcyNzMzNDQ3 可否详细解释下，不禁 git 有什么后果？

NjcyNzMzNDQ3

2019-04-26 11:12:10 +08:00

@ioioioioioioi git 源地址、明文账号密码、服务器项目目录结构

NjcyNzMzNDQ3

2019-04-26 11:13:53 +08:00

@Myprincess 哦，wp 的话你可以看看 wp_option 表里的 siteurl 是不是被改了，你要找不到我可以帮你

alert1

2019-04-26 11:17:32 +08:00

修改默认密码，不要把任何服务开放到外网，除了 mysql，还有 redis，mongodb 这种。做安服见过太多 redis 写 ssh key 与 mongo 直接勒索加密。

ioioioioioioi

2019-04-26 14:32:27 +08:00

@NjcyNzMzNDQ3 密码不进 git 的，git 目录 web 也是无法访问的

KigKrazy

2019-04-26 15:20:32 +08:00

* 外网统一使用 niginx 做一层隔离和过滤
* 数据备份推荐使用 borg + borgmatic,(本地两份，云端一份。)

Myprincess

2019-04-26 15:46:00 +08:00

@NjcyNzMzNDQ3 TVlQUklOQ0VTU0NO

defunct9

2019-04-26 15:59:15 +08:00

裸奔

jetpy

2019-04-27 23:07:46 +08:00

建议备份工作要做好，自己构建异地备份可以某种程度上降低风险，最稳妥的还是使用阿里云的混合云备份，强烈建议，价格不高，本地要搭建起同样安全级别的备份策略花费会更高！

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/558594

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.