设为首页
收藏本站
网站地图
当前位置:SEO首页 > SEO技术 > SEO经验 >
SEO经验

seo经验seo必备技能之网站安全防护

时间:2015-11-22 17:19来源:网络 作者:石家庄网站优化 点击:

警告:本篇文章篇幅过长,手机党慎入!

前言: 织梦好,好织梦

在楼主认识的人当中,或者是网络上见过的很大一部分做seo的,或者是搞网络营销行业的,自己对网站建设以及网站安全几乎是没有任何了解的,而他们自备的技能就是:大谈各种网络营销手法。楼主从来不谈论谁对谁错,但楼主认为一个连网站都不懂的人,甚至都不知道都怎么管理好自己网站的人,绝对不是一个合格网络从业者。(好吧,废话有点多,今天应大家的要求,抽出点时间来给大家做一点普及,主题是:网络安全防护方面。主要对网络小菜而言的,大牛勿喷。) dedecms.com

大家知道我们做seo的周期很长,而且过程当中还要受到内外数据波动,如果这个时候大家又发现自己的网站被黑掉了。。那么。这对你来说,简直是“要命了”!那么网站是怎么被黑的呢?被黑掉是怎么被破坏的呢?我们又该如何去防护呢?请看下文:

dedecms.com

本文会涉及到一些专业用语,大家如果有看不懂的可以自行百度,另外本文主要讲的是一些基础性的网站安全,并不是什么高大上的”黑客”,so。小伙伴们要分清哦。那么我们首先来了解一下网站是怎么做起来的吧。很多小伙伴认为做网站必须会div+css,没错,那些都是基础,但很多年前网络上有一些东西叫:cms。整站管理系统,我们可以一键搭建网站,只需要修改模板并修改自己想要的模块即可。好下面了解一下常见的cms类型: 本文来自织梦

一:网站脚本分类:

内容来自dedecms

网站建设的脚本类型很多,常见的有:html、asp、php、jsp、aspx等。其中最常见的有asp、php等动态脚本语言,可以说80%的互联网网站都是用这两种做的,论安全性楼主觉得都没有完艾富莱安全可言,但如果一定要分清楚的话,就是:jsp>aspx>php>asp。好,根据不同脚本的分类,楼主列举几个常见的cms,楼主先用php脚本做例子,asp很多年不用了,忘记有啥比较出名的cms了。 织梦好,好织梦

博客cms:wp、zb、mb; copyright dedecms

论坛:dz、phpwind;

copyright dedecms

新闻发布系统:dedecms、phpcms、帝国cms、php168等; 本文来自织梦

好,我们可以试着去这些cms的官网下载一套程序,然后本地使用php环境进行搭建,这里需要用到sql,需要数据库安装。那么重点在这里不是教大家怎么做站的,从各大cms来引出如何被黑掉的。因为这些cms不是自己一手写出来的,所以多少有些地方存在漏洞,而这些漏洞足以让所谓的黑客黑掉这些站。楼主也先不讲cms漏洞的形成,因为每种cms代码都不一样,而且今天也不讲代码。。。

本文来自织梦

二:常见入侵手法 本文来自织梦

正是因为网络上有大部分人在使用各种cms做站,方便快捷。但是会形成危险程度,假如某一个cms被爆了漏洞,石家庄网站建设那么使用这个cms的成千上万的网站,就会遭殃。事实上比较常见的比如:dz、dedecms(漏洞之王)。而cms的漏洞我们一般称之为:0day;这些0day网络一搜一大堆,但是出补丁的速度也很快: 织梦好,好织梦

copyright dedecms

。也许一段代码、一个自动攻击就可以获取网站权限:常见的入侵手法有:0day;sql注入;弱口令;文件上传;敏感路径;旁注;等

织梦内容管理系统

(由于篇幅限制,楼主对这些手入侵法暂时一提,如果有时间可以一一讲解)

织梦好,好织梦

三.常见利用手法 内容来自dedecms

那这些黑客们是怎么利用我们的网站的呢,首先通过网站漏洞入侵到网站,需要有一个获取权限的东西,我们一般称之为:webshell(可能有的小伙伴听过,没听过的可以百度一下呀~)然后通过这个webshell进行网站文件的各种操作,webshell其实就是一个动态的脚本文件,这不过这个文件具有一些文件管理等等功能,上个图吧: 织梦好,好织梦

aspwebshell

dedecms.com

copyright dedecms

获取webshell,至于怎么获取webshell,没有统一的手法,最终的目的是把这些具有管理功能的动态脚本上传的网站里面才可以进入下一步操作。通常在黑客的话里面,这个过程被叫做:渗透!好,这里我们也不讲怎么获取webshell,怎么入侵。在获取权限之后,就可以进行一系列你想要的操作,比如:

织梦内容管理系统

1.黑链(在网站首页挂隐藏链接,表面看不到,劫持权重)

dedecms.com

2.ddos(上传一些带有发包功能的脚本,消耗服务器资源,通常被称为拒绝服务式攻击。)

织梦内容管理系统

3.各种劫持(快照、栏目等等) 织梦内容管理系统

4.挂马(在首页什么地方,挂一个木马,打开即中招。然后电脑变成“肉鸡”) 织梦好,好织梦

5.流量等(比如用你的权重做一些什么词的流量。。黑帽seo等)

织梦好,好织梦

6..脱裤(把sql数据库导出本地,获取大量会员信息密码)等等。。

本文来自织梦

网站怎么利用完全看入侵者的意图,不止这些,如果楼主说句实话的话,黑产牟利中这些只是冰山一角 织梦内容管理系统

四.如何更好的防御 织梦好,好织梦

好了,讲到这里,大家都明白网站安全到底有多重要了吧,小伙伴们是不是要抽点时间恶补一下呢,比如最近经常看到搜外上有人在问:页面被劫持、网站域名被泛解析了(这种一般是获取了域名的解析权限)等,我们知道原理之后,下一步最重要的就是如何做好防护措施。根据不同的需要大家可以进行选择性的防御,楼主举几个例子,但不仅限于这些(ps:楼主才不是专业的搞维护的呢,楼主只是一个做seo的。): 织梦好,好织梦

1.cdn加速(国内常见的有百度加速乐、安全宝、360cdn等,cdn加速可有效的防御攻击软件的自动扫描,隐藏源ip。并且目前都各自带有恶意代码攻击防御,是小菜必备的东西)

内容来自dedecms

2.及时升级各大cms补丁(这个肯定是必须必须要及时做的事情。。) 织梦好,好织梦

3.服务器安装安全狗、d盾之类的专业防护软件(有效截断各自攻击。。主流的~)

内容来自dedecms

4.有些情况下,黑客们可以绕过cdn、防护软件的防御,在网站上面留下后门文件,非常隐秘,此时我们只能找一些专业webshell查杀攻击,比如啊dwebshell查杀,(啊d哥做的,专业三十载!)

dedecms.com

5.然后就是,可以把自己网站的一些敏感目录,比如data、admin设置为最高权限访问,只有自己才能访问,百度优化软件要不就没事不更新文章的时候,做一个写入权限。石家庄网站优化就算有漏洞也写不进去代码。有的空间控制面板中还带有禁止某些脚本运行的功能,可谓十分强大,这些小伙伴们自己有时间了可以看看

dedecms.com

结尾:不知不觉写了这么多了,由于篇幅限制先到这里吧。可能有的同学看的模模糊糊的,但多研究下,相信可以看明白的。这些都是最基础的知识。只要掌握这些技能,就可以:运筹帷幄,拒黑客于千里之外!还有一点就是:没有绝对的安全,只有不断进步的技术。 织梦好,好织梦

本篇到此结束,写的不好,勿喷!有疑问的小伙伴可以在下面留言,有时间楼主会一一解答。打字打的手都麻了,能不能换来一个赞呢? 内容来自dedecms

2014.11.1搜外首发

织梦内容管理系统

织梦好,好织梦

你上面提的我都中过招清除了webshell和一些畸形图片木马文件后一般情况有没有必要重新装系统?以前有一段时间经常有人在我服务留个记事本告诉我他来过了.....但是没发现有什么木马文件,遇到这种情况一般怎么处理? 内容来自dedecms

还有一个问题就是木马是否可以用JS来调用?如果可以的话一些小广告联盟深更半夜在JS里面加了木马怎么办? 内容来自dedecms

“你上面提的我都中过招清除了webshell和一些畸形图片木马文件后一般情况有没有必要重新装系统?以前有一···刘清文”webshell是无法使用js实现的,js除了在实现各种跳转之外,还有个功能就是xss。这是一种更加高大上的攻击手段,xss一般为获取管理员cookie为目的,从而不用用户密码就可以登录;清楚webshell和畸形路径的木马文件,包括图片木马。还有一点需要搞清楚是怎么被入侵的,是cms的漏洞还是服务器漏洞。一般没必要重做系统。比较隐蔽的后门木马比如:一句话木马、远程执行、服务系统畸形解析,这些都比较难以防御;如果清除不了的话,就要想别的办法。

织梦好,好织梦

“刚刚网上找了些资料然后改了下 织梦内容管理系统

<html> 本文来自织梦

<···刘清文”你测试成功了吗,我这里无法正常运行,这种形式被称为小马,用来写大马的。但这种js代码我觉得肯定是写不了内容的。必须包含asp或者php脚本标示符才行。

内容来自dedecms

“你测试成功了吗,我这里无法正常运行,这种形式被称为小马,用来写大马的。但这种js代码我觉得肯定是写不了内容的。必须包含a···孔令峰”我测试了很多次成功了的,有些浏览器不兼容不能用还可以写路径CreateTextFile("c:\\1.asp",true)但是这个要建立在知道对方网站的根目录下 copyright dedecms

“你测试成功了吗,我这里无法正常运行,这种形式被称为小马,用来写大马的。但这种js代码我觉得肯定是写不了内容的。必须包含a···孔令峰”刚刚用这个JS果断生成了一句话木马用中国菜刀链接上了有点小恐怖。。。担心挂了外部链接的JS广告代码..偶尔来阴一下..... 织梦好,好织梦

“刚刚用这个JS果断生成了一句话木马用中国菜刀链接上了有点小恐怖。。。担心挂了外部链接的JS广告代码..偶尔来阴一下···刘清文”其实清文兄先不必纠结这个js能不能生成动态脚本文件,都能上传了,直接上传个大马就ok了,或者写个一句话。菜刀一连,ok。清文兄也接触这一行,哈哈。 织梦好,好织梦

“令峰兄,请教下被入侵后怎么识别他是通过程序漏洞还是服务器漏洞进来的?只能通过IIS日志文件来查吗?还有其他什么···刘清文”怎么识别怎么被入侵这个没有统一的定义,比如说一个cms同时有0day和sql注入两个漏洞,都可以进去。当然,有时候服务器漏洞也会导致网站被入侵掉。旁注:通过其他服务器的漏洞嗅探到你的服务器登陆信息,在同一个c段。如果服务器装了防护软件,可以通过日志来查看。事实上根本不可能把所有的漏洞都了解,因为没有绝对的安全。只能平时的时候设置一下写入权限等。seo经验seo必备技能之网站安全防护。

内容来自dedecms

------分隔线----------------------------