用户的虚拟主机被黑,服务器是否不安全?

用户的虚拟主机被黑,服务器是否不安全?

每个虚拟主机用户都有FSO权限(FSO通俗的解释就是用户对空间拥有可读写和完全控制的权限),就是说,用户被人上传了ASP程序,用FSO想对它做什么都行。例如一些不安全的论坛程序,被上传了可以执行的ASP程序,就可以拿走或删光某个用户的所有内容.

某个被上传木马的虚拟主机,只能对此空间进行操作,是操作不了别人的空间,也控制不了服务器。这点是肯定的。

我们不可能代替用户来设计他自己的网站程序,可以做的就是,在虚拟主机管理中使用锁定上传功能、使用不执行权限的功能,可帮助无技术基础的用户提高他程序的安全性。以下给出具体原因和设置方法:

1、为什么空间会被黑以及被黑后的处理方法

用户的主机被黑(中毒或被修改代码或网站程序直接被人下载等状态)一般有两种可能:

1.FTP的密码太简单,比如您把密码设置成了简单密码比如是123456,china,red等等这样的非常简单的密码或是您的FTP名和密码是一样的,这样的密码会在短期内就被某些恶意的人搜索到,登陆您的FTP,放入木马在您的站点程序中(状态就是所有人访问您站点的时候提示有病毒)或全部删除您的站点。

解决办法是:彻底删除FTP中所有资料,把FTP密码修改的比较复杂,如修改成jkgraweihrfweu这样无规则的密码,同时确保您的FTP名和您的FTP密码不一样,重新上传干净的站点。

2.您的网站程序并不安全或本来存在漏洞或木马程序,比如您的站点可能是随意的从网上下载直接使用的,您也没有检查过有没有漏洞或木马等等,解决方法是:如果您对程序比较了解,请先检查程序代码,如果您对网站程序并不了解我们建议您别随意使用从网上下载的程序,建议您下载某些著名站点的成熟程序比如Discuz论坛、新云、动易等或购买某著名站点的商业程序(需要经常查看官方站点是否有新补丁,否则没及时打上新补丁的程序也会被黑,同时必须修改这类网站程序的默认管理用户名和密码,如果是ACCESS数据库网站程序还必须修改默认数据库路径和数据库名)

解决办法是:彻底删除FTP中所有资料,重新上传干净的站点,确保站点程序无漏洞或无木马。

3.使用本站 提供的设置写入权限功能,将您的整个空间锁掉写入功能,然后独立开放某个需要写入的目录的写入权限,如果你需要更新站点时,开放写入权限,更新完成请立即锁定写入功能,这样可以避免被人传入木马或传入木马后也无法删除您的数据。(详细设置方法见最下方。)

4.使用本站 提供的设置执行权限功能,将您的站点中某个容许上传目录或不需要执行代码的目录关掉执行权限,比如论坛的上传目录和头像目录或图片目录,经常被人利用上传木马,黑了论坛,您应该取消这些容易被利用的目录的代码执行权限,这样就算被人传入木马,也无法执行,如果您开放了某个上传目录请一定取消这个目录的执行权限。

2.总之

在网站正常运行时:空间应该全部关闭写入权限,只保留需要写权限的某几个目录,同时被保留写权限的目录,必须要关闭执行权限 。站点需要更新时:开放所有写入权限,更新完毕后立即关闭写入权限。

原则是:
1.有写入权限的目录,不能有执行权限
2.有执行权限的目录,不能有写入权限
这样最大限度的保证了站点的安全性

实际例子:
比如某个用户空间内是论坛: 论坛是容许上传附件的
安全设置方法
1、经常:查看官方论坛有没有新补丁,必须保证自己论坛程序都是最新的,否则设置的再安全也可能出问题。
2、关闭:整个空间写入权限。
3、开放:文件上传目录、数据库目录、头像目录 写入权限
4、关闭:文件上传目录、数据库目录、头像目录 执行权限
这样可最大限度的保证安全性,即:可以最大限度的保证不被传入木马,即使被传入也不能被执行。

3、本公司技术人员的建议(经验)

在所有被黑的网站中,95%以上都是ASP网站,而PHP网站不到3% ,虽然从这些统计数据上,我们不能说明PHP肯定比ASP安全,但是最少可以说明采用PHP做网站,被黑的机会可能是最少的 ,所以本公司技术人员建议,如果可能的话,请尽量使用PHP做网站(下载PHP写的网站程序)

注意:以上的建议对于程序高手并不适合,因为任何一种语言,只要高手们用心去查漏洞,并且网站运行过程中,日常的管理跟得上,相对来说都是安全的,相反再安全的程序,只要不管理,总是有被黑的一天。

以下为 设置写入权限和执行权限的具体操作步骤

1、设置执行权限

 本功能使 指定的目录 取消ASP/PHP/ASP.Net执行权限。 

使用您的用户名和密码登陆本站(按照以下步骤点击)
(1)自助管理--主机管理--操作下的 管理--[设置执行权限]--输入需要取消执行权限的目录---点取消此目录执行ASP等权限。
(2)被取消执行权限的目录 可以点 恢复此目录的执行权限 重新恢复。
(3)注意事项:被取消执行权限的目录无法执行代码,同时FSO功能也被关闭。

2、设置写入权限

本功能使 指定的目录 关闭写入权限(只有读的权限无写权限)    对安全有重要意义,例如可以将ACCESS放在某个有写入权限的目录(先修改数据库连接文件,设置数据库路径),而将web目录的写入关闭, 使ASP木马根本无法上传。 在整个网站已锁定的情况下,还可以单独设置指定的目录拥有写入权限。

使用您的用户名和密码登陆本站(按照以下步骤点击)
(1)自助管理--主机管理--操作下的 管理--[设置写入权限]--点关闭网站的写入权限。
在整个网站已锁定的情况下,还可以单独设置指定的目录拥有写入权限。 输入具体需要写入功能的目录名,点打开此目录的写入权限或关闭此目录的写入权限。
(2)被关闭写入权限的站点 可以点 恢复网站的写入权限 重新恢复。
(3)注意事项:写入权限关闭的站点,子目录和FSO也被同时关闭。

时间: 2024-08-01 15:59:34

用户的虚拟主机被黑,服务器是否不安全?的相关文章

广大用户对虚拟主机不再陌生

中国的虚拟主机行业发展到今天,广大用户对虚拟主机不再陌生,虚拟主机已经成为广大中小型企业用户建站的首选.与此同时由于行业准入门槛不高,大大小小虚拟主机服务"提供商"是遍地开花,一时间出现众多租用一台服务器的个人都开始卖主机空间了.由于僧多粥少,这些投入了部分资金的"个人主机提供商"急于收回成本,大都选择了疯狂的价格战,低价"倾销",结果导致整个虚拟主机市场一片混乱.虚拟主机自然在众多主机"提供商"眼中成了不值钱"过时

虚拟主机与独立服务器区别

虚拟主机与独立服务器区别 一.服务器有独立的IP.内存.硬盘和带宽,虚拟主机是共享的服务器的. 二.服务器可以安装各种操作系统,虚拟主机是在服务器上划出来的,只能与所在服务器系统保持一致. 三.服务器有独立的平台,可以运行各种网站以及配置各种网站环境,虚拟主机支持的程序非常有限,而且是默认服务商已经配置好的,用户无法自己安装与配置. 四.服务器功能强大,不限制访问量,主要是针对的较大规模的应用,虚拟主机限制IIS连接数,而且性能有限,主要是针对的小型网站. 五.服务器普通配置的要几千每年,虚拟主

浅析虚拟主机和云服务器的区别

近日, HostingCon全球主机大会2016中国站正式开放报名,这是自2014年落户中国后的第三届.HostingCon是由美国iNET公司创办的一个面向全球的虚拟主机公司和云服务提供商举行的重要行业大会和商务展览,是全美最受欢迎的主机盛会之一. 众所周知,在全球大数据云计算的迅猛发展下,基于云计算的云主机服务和传统的主机服务器之间的竞争愈演愈烈,甚至有人认为传统主机在未来必然被云主机取代.当前,云服务器的优势也越来越明显,不过就性价比而言,很多中小企业以及个人站长仍在使用传统虚拟主机或服务

新蚂蚁搬家商城网站建设虚拟主机搬到服务器上

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   前两天由于数据库紧张,百映不得不从虚拟空间搬家到服务器,今天熊向阳给大家分享一下此次搬家的心得. 前两天由于数据库紧张,百映不得不从虚拟空间搬家到服务器,今天熊向阳给大家分享一下此次搬家的心得.百映使用的是Win32位系统,现在以WIN32为例说明,当网站从虚拟主机更换为服务器时,需要注意的地方大致包括以下几点: 一.备份数据 大多数站长认为这个备份数据是备份F

做网站是选用虚拟主机或是独立服务器?

如果大家和我一样有几个上万IP的站,就一定在考虑采用虚拟主机还是独立服务器. 我目前有3个1万IP的站,都还是用的虚拟主机. 都知道,虚拟主机的价格要比独立服务器便宜一些,从节约成本的角度出发,我选择了虚拟主机. 目前看来,双核酷睿+2G内存+15M宽带+XXG硬盘,租用一台这样的服务器估计要 7000/年左右. 但是,在这样的服务器上租用一个1G的空间,只需要几百元. 选择虚拟主机有一些坏处,特别是表现在不能够正常保证流量高峰时段的访问,在20:00--22:00我放在虚拟主机上的网站经常会暂

CentOS配置虚拟主机virtualhost使服务器支持多网站多域名的方法_服务器其它

本文实例讲述了CentOS配置虚拟主机virtualhost使服务器支持多网站多域名的方法.分享给大家供大家参考,具体如下: 如何让centos(redhat)配置虚拟主机,让服务器支持多个网站,针对Apache,只需要你修改apache配置文件/etc/httpd/conf/httpd.conf即可. 里面有个example文件,你只要对应配置即可. #<VirtualHost *:80> # ServerAdmin webmaster@dummy-host.example.com # Do

Ubuntu系统建立mySQL认证的FTP用户和虚拟主机扩展

Ubuntu系统建立通过mySQL数据库认证的FTP虚拟用户和http://www.aliyun.com/zixun/aggregation/14840.html">虚拟主机的扩展 这里使用的是vsftpd sudo apt-get install vsftpd 给vsftpd虚拟用户创建数据库, 这个数据库就是储存登录FTP的用户名和密码的, 把数据库名叫做vsftpd好了.登录数据库管理 mysql -u root -p 创建数据库vsftpd并配置它的权限 CREATE DATABA

虚拟主机、VPS服务器及独立服务器对比说明

网站空间是存放网站程序及数据的容器,通常分为:http://www.aliyun.com/zixun/aggregation/14840.html">虚拟主机.VPS服务器及独立服务器,现在又出现了一种叫云服务器. 小贴士:1.虚拟主机:最常见的一种网站空间,它通过对服务器磁盘的划分,可以在同一台服务器上分割成多个网站空间,每个空间相互不受干扰,独立管理.例如:一台服务器的硬盘是500G,如平均划分成500个网站空间,则每个空间有1G的容量大小可供使用.了解更多虚拟主机的知识:http:/

在Win2003服务器系统中添加Web虚拟主机(图)_win服务器

在同一台物理服务器中配置多个Web网站,很多用户会选择在服务器中添加多个IP地址,然后将每个Web站点分别指向不同IP地址的方式.这种方式固然可行,不过随着IP地址(主要是指Internet中的IP地址)资源越来越紧缺,该方式的弊端也越来明显.其实在IIS 5.0和IIS6.0中,用户完全可以为每个Web站点添加HTTP主机头,从而使用一个IP地址和端口号创建多个Web站点.这种方式通常被称为搭建"虚拟主机".在IIS 6.0中搭建虚拟主机的步骤如下所述: 第1步,在"Int