近日, DDOS攻擊教程結合百度安全軟件提供的數據,查看了中國互聯網安全指數,目前百度安全已采樣網站數 1,57.8萬個網站。據統計其中高危網站394,077個,中危網站903,024個,低危網站263,538個,良好網站17,177個,通過這組數據可以看出,中國互聯網安全指數確實十分的低。
那具體影響網站安全的都是存在哪些方面呢? 無錫網站制作為大家做一下統計
1、首先看一下服務漏洞
其中超過10W以上占比的就有四種,分別是排名第一的Microsoft IIS httpd,影響了259,246個網站;排名第二的MySQL服務,影響了224,586個網站的安全;排名第三的OpenSSH服務,影響了170,220個網站安全;排名第四的Microsoft ftpd服務,影響了112,157個網站的安全;其余未超過10W個網站的請看下圖匯總。這個數據可以看出,容易中木馬病毒的一般會有iis httpd 以及MYSQL數據庫。
2、我們在看一下這150多萬個網站的所使用的服務漏洞
web應用占據前三位的分別是Microsoft asp.net 、jquery、twitter bootstrap三個;web服務器占據前三位的分別是:nginx、iis、apache ;web語言開發占據前三的分別是:php、lua、java。從上面可以看出微軟的系統以及php語言開發漏洞較多,很多模板類的網站都是極度不安全的。
3、在所有的漏洞中占比較高的TOP5漏洞類型分別如下:
1)拒絕服務,總共有488,735個網站;2)權限提升/繞過,總共有416,471個網站;3)信息泄漏,總共有390,494個網站;4)代碼執行,總共有287,788個網站;5)訪問控制,總共有219,654個網站?梢钥闯鰴嘞迒栴}和信息泄露的問題還是很嚴重的,占比也比較高,說明大多數網站的FTP以及后臺管理密碼相對來說比較簡單,容易破解
既然出現了這么多的不安全因素,那么 無錫網站建設在維護的時候應該如何做呢?
1、設置iis權限,配置好安全權限,比如一些讀寫、修改權限的設置,僅允許訪問控制中選擇的、受信任的域允許源頭,另外要做的兩點:a、設置登錄驗證碼防止爆破,但設計不好的驗證碼是可以繞過的。b、設置賬戶鎖定,設置一定次數的登錄嘗試失敗,則鎖定賬戶一段時間。
2、MYSQL數據庫安全防護應做好如下設置:a、以普通帳戶安全運行mysqld,禁止mysql以root帳號權限運行,攻擊者可能通過mysql獲得系統root超級用戶權限,完全控制系統,并配置好/etc/my.cnf;b、檢查帳戶默認密碼和弱密碼,修改帳戶弱密碼,檢查本地密碼(注意,管理帳號root默認是空密碼);c、權限設置合理設置用戶權限,在數據庫權限配置能力內,根據用戶的業務需要,配置其所需的最小權限。
3、服務器里的FTP軟件卸載了,其實服務器可以直接連接本地電腦進行拖曳,用不著FTP軟件,這個漏洞太多,如果使用虛擬空間,必須要用FTP上傳數據,那么請上傳代碼后關閉FTP使用權限,或者經常修改FTP密碼(大小寫字母+數字+特殊符號,編輯密碼不應少于12字節)。
4、網站代碼(web語言開發)選擇安全性較高的,避免選擇php模板、CMS模板站,這類模板站重復性太高,網絡危險性成倍增加,選擇時盡量選擇開發定制的,如果實在預算不允許,那么請選擇質量較好的模板使用,不能貪圖一時便宜。
總之,企業的 DDOS攻擊教學與安全運維都是十分重要的,選擇好安全系數高的,配置好權限,做好網絡安全維護,還是能提高網站質量的,能實實在在為企業帶來互聯網好處,反之則帶來更多的麻煩。 |