并認為[星外安全包]是國內目前服務器上一個非常穩定、可靠、安全具有保障性的軟件。同時為成千上萬的臺服務器提供了最安全的保障服務。
為了保障服務器的安全,目前所有安裝了[星外虛擬主機管理平臺]的正版用戶,都已經嚴格按照[星外安全包]的[視頻教程]設置來配置服務器的安全。但是,為了防止低水平的服務器管理人員破壞服務器的安全性,為了更大程度上保障用戶服務器上的安全性,請參考下面的要求,檢查您的服務器的安全設置:
----------------------------------------------------------------------------------------------------------------
1. 請將sql 2000,mysql運行在普通用戶權限下。
由于大部分黑客都是利用數據庫的權限入侵,將sql 2000,mysql運行在
普通用戶權限,可以提供數據庫的安全性,防止入侵,同時您務必對數據
庫的權限做詳細的設置,具體設置要看[星外安全包]的[視頻教程]。
2. 使用[星外安全包]中的IP策略來關閉所有沒用的端口。
具體的設置請看星外安全包的視頻教程。
3. 服務器所有磁盤分區的根目錄都不能有everyone,users讀與運行的權限
4. 為了加強PHP的安全,請直接使用星外的[自動PHP安裝包]來安裝,安裝
以后,PHP的默認就處于安全狀態了。
5. 請不要安裝或使用CGI,因為CGI存在先天上的安全隱患。
6. 請不要安裝任何的第三方軟件。
例如XX優化軟件,XX插件之類的,更不要在服務器上注冊未知的組件。
7. 請不要在服務器上使用IE訪問任何網站,不然有可能中網頁木馬。
8. Mysql要使用4.1以上的版本,4.0版本存在安全問題。
9. 請不要安裝PCanywhere或Radmin,因為它們本身就存在安全問題。請直接
使用windows 2003自帶的3389,因為它比任何遠程控制軟件都安全。
10. 請不要在服務器上雙擊運行任何程序,不然您中了木馬都不知道。
11. 請不要在服務器上使用IE打開用戶的硬盤中的網頁,這是最危險的破壞
服務器安全的行為,會造成木馬入侵。
12. 請不要在服務器上瀏覽圖片,因為曾經多次發現操作系統的圖片處理功能
漏洞,有可能會造成您的服務器被入侵。以前windows就出過GDI+的安全
漏洞會造成服務器被入侵。
13. 如果您使用Imail,必須要用8.2以上版本,8.1存在安全嚴重的安全漏洞
14. 請設置sytem32目錄的cmd.exe, at.exe, cacls.exe, ftp.exe 的文
件只能有adms,system的全權權限.不能有其他的權限,[星外安全包]已
自動設置了它們的權限,請參考[星外安全包]的[視頻教程]來設置
15. 服務器上任何的asp,php,asp.net程序絕對不能使用sql2000的sa用戶或
mysql中的root用戶來連接數據庫,這樣會造成服務器被入侵.
16. 由于舊版本的WinRAR軟件存在安全漏洞,因此,所有安裝的Winrar電腦都必
須安裝WinRAR7.1以上版本.
17. 服務器不能運行任何使用固定網絡端口的程序,例如私服程序就是最大的
入侵后門
18. 為C:/Documents and Settings/All Users/Documents目錄的users
用戶組設置拒絕寫入權限。(請使用最新版的安全包來設置這個目錄)
19. 升級imail8.22的安全補丁,下載地址:
Imail控制臺中imap4D32服務必須是處于停止(Stop)狀態,否則馬上就可
以入侵你的服務器!
20. 經常性運行windows update更新補丁.
21. 為了進一步提高安全,您可以啟用windows默認的防火墻.
注意,在啟動防火墻前,您需要先在例外中,設置允許以下的TCP端口:
3389 1433 3306 25 21 20 80 110 53 8888
再設置允許以下的程序使用網絡(在例外中選擇添加程序)
C:/windows/system32/inetsrv/inetinfo.exe
C:/windows/system32/inetsrv/w3wp.exe
C:/windows/7i24tool.exe
如果您改過了3389端口,您需要另外加上您自己的端口.如果您的服務器需要允許被ping,請您在例外旁邊點高級,點設置ICMP,再點允許傳入回顯請求,確定后就會支持ping了.
(特別指出,近期據傳win2003有未公開的漏洞,請啟用防火墻)
22. 主控服務器所在的主控網站目錄(D:/freehostmain),不能改動目錄的權限,不然會造成安全問題,正常這個目錄只有adms,system及freehostwebrunat讀的權限,任何別的權限增加了,都造成安全問題,也不能在主控目錄中放探針,或PHP文件,或別的操作ACCESS的代碼.
23.注意不要安裝windows update中的Windows PowerShell,如果已安裝了,請刪除它!因為這個組件有大量服務器管理的權限.不能安裝.
24.請將服務器中的"Distributed Transaction Coordinator"服務禁止,傳IIS中存在沒有補丁了漏洞,這個服務必須禁止。運行以下命令可以自動禁止:
sc stop MSDTC & sc config MSDTC start= disabled
25.如果以下目錄存在,請刪除這個目錄:
c:/windows/ServicePackFiles,否則里面有文件有可能被黑客利用.
如果您直接裝的是win2003R2版本,這個目錄是不存在的,因此不用刪除。
我們強烈建議您安裝以下的操作系統:
第二個盤不用下載,也不用安裝,注冊碼在同個網址中有.
注意:在安全方面,網管必須要提高安全警惕,因為網管才是服務器安全的最
后保障,按以上設置后,就算您的用戶上傳了木馬在自己的網站中,也
絕對入侵不了您的服務器。另外您需要先確保您自己的電腦是安全的,
才能保障您的服務器也是處于安全,如果您自己的電腦不安全,您的服
務器也不可能安全。
補充:您的服務器如果不幸中毒,可以用一些專業工具來掃描:
