网站被攻击一个月后总结的优化小方法

07月12日 23:44

阅读:1,112

这是网站遭受攻击一个月以来的第一篇文章,大家或许了解前段时间开创者素材一直被流氓恶意攻击导致网站不能正常运行,导致网站损失大量用户也让别逗了好么在网站防御方面做了很多调整,有利有弊、别逗了好么在这方面学到很多东西并且更加坚定把网站做好的决心。别逗了好么一直坚信用心才能留住用户才,行业之间的竞争不是攻击就能解决问题,随着时代的发展,质量越来越高的网站如雨后春笋般出现,只有不断提高自己的网站用户体验、素材质量才能让网站长久的维持下去、万古长青。别逗了好么就发现一个抄袭本网站的(sc.desvn.com算是给他做个广告,哈哈),但是别逗了好么并不反对这种抄袭,最起码他有修改有添加,做出来自己的主题风格。

在这里说一下攻击者的攻击手法有哪些:sql注入、webshell、cc(针对一个大文件持续加载,占用服务器带宽)、洪水攻击(大流量攻击服务器导致服务器瘫痪)、持续搜索功能查询(达到启动阿里云盾的数据库保护功能)、占用服务器端口、织梦漏洞扫描。

sql注入:

SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

防范方法:

保证生产环境的Webserver是关闭错误信息的
传入的参数做严格加成,特殊字符进行过滤和转义处理
使用预编译绑定变量的SQL语句
做好数据库帐号权限管理
严格加密处理用户的机密信息

webshell:

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。

防范方法:

建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
利用白名单上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则。
不要在网页上加注后台管理程序登陆页面的链接。
最好不要使用开源的内容管理系统。

CC攻击:

CC就是模拟多个用户(多少线程就是多少用户)不停的进行访问(访问那些需要大量数据操作,就是需要大量CPU时间的页面).这一点用一个一般的性能测试软件就可以做到大量模拟用户并发。攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫:CC(ChallengeCollapsar)。

防范方法:

优化sql查询速度
禁止网站代理访问
现在用户查询频率
尽量把页面做成静态
给动态加载添加缓存
修改最大超时时间
在攻击的时候可以把域名绑定到攻击者服务器上,进行攻击转移

洪水攻击:

常见的有DDoS(拒绝服务攻击),就是让你的服务器资源耗尽,无法提供正常的服务,间接地拒绝。就是直接的攻击服务器导致服务器宕机,无法正常工作。

防范方法:

提高服务器配置或者换高防服务器
隐藏服务IP等信息
添加CDN(360、百度、云盾、知了等)
优化服务器的链接方式

其他的都很明了,在这里就不再赘述,做好防护是网站运营的第一步,也是最关键的一步。