医院网站防黑运维经验分享,小白也能轻松应对
如何保证医院网站的安全稳定不被黑客入侵,现在是一个很棘手的问题,在二三线城市的医院在预算有限的情况下很难招聘到一个对安全运维很精通的人。
下面我写一篇文章,结合我过去这些年的实际工作经历给大家演示如何用最简单的方式保证服务器安全。
第一点,要让你的网站看起来和别人不一样
我们要熟悉云服务器的端口号配置,把默认端口号都改掉,减少被黑客试错的机会
停掉服务器的SSH端口,或者也将这个端口号改做其它的数字。
如果您的网站是基于织梦开发,可以修改网站根目录下的robots.txt,比如可以改成这种通配符的形式,让通过读取robots.txt嗅探网站漏洞的软件放你一马。
User-agent: *
Disallow: /*plu*
Disallow: /*inclu*
Disallow: /*temp*
Disallow: /*js*
Disallow: /*imag*/
Disallow: /*uplo*/
Disallow: /*dat*/
将网站后台目录,管理员用户和密码改成复杂一些,基本上要8位以上,但是您千万不要把用户名设置成admin,密码写成123456789,要注意大小写,特殊符号和数字相混合,如果是那种目录名不改,管理员用户名密码都不改的,几乎不出一个月网站就会被篡改,我们称这种网站叫短命网站。
安装宝塔面板,我选择的是5.9版本的,这个版本稳定性比较好,也是出于我的一个个人习惯,因为这个版本的Nginx可以使用宝塔面板里的一个免费的waf功能,6.0版本以后就没有这个功能了,只有花钱升级完专业版才能使用waf,而且费用不菲。
在宝塔面板的过滤器里面,能开的规则都给它打开,这样会得到最全面的防护。
宝塔面板使用的888、8888端口号也同样要改掉,不然就是自己给黑客留了一个后门。
服务器端软件我选择的是Nginx openresty,启用Nginx的waf防火墙过滤的所有功能。
按照我说的做法设置好,一个配置最低的云主机都可以轻松安装几十个网站,不会担心被挂木马和黑客入侵的风险。
被过滤掉的网站访问请求
总结一句话:必须要改掉或停掉22端口888端口,8888端口,禁止ping。
第二点,给静态文件目录设置禁止脚本执行的权限
给某些通用的,容易被猜到的,静态目录里添加禁止php脚本执行的代码,这样即可大大降低被人上传木马以及网站被黑被篡改网站页面的风险。
禁止指定目录下的PHP脚本执行权限
然后我们试着上传一个php文件到上面添加规则的目录中,之后用浏览器访问访问那个php文件,如果出现以下信息,表示我们已经成功拦截了非法请求。
成功拦截
刚才的规则是给指定网站添加的禁止执行php脚本的代码,但是如果服务器上有几十个网站都想做这种设置吗?挨个改下来要浪费很久的时间,而且也不好维护,有没有更好的办法以呢?
答案是肯定的,方法就是找到你网站对应的PHP版本,加在里面的前面。
一劳永逸设置所有网站脚本执行权限
第三点,要有安全备份的习惯
不要在网站的根目录,模板目录,和数据库备份目录里有如下名称的备份
a.zip、web.zip、web.rar、1.rar、bbs.rar、www.root.rar、123.rar、data.rar、bak.rar、oa.rar、admin.rar、www.rar、2014.rar、2015.rar、2016.rar、2014.zip、2015.zip、2016.zip、2017.zip、2018.zip、2017.rar、2018.rar、1.zip、1.gz、1.tar.gz、2.zip、2.rar、123.rar、123.zip、a.rar、a.zip、admin.rar、back.rar、backup.rar、bak.rar、bbs.rar、bbs.zip、beifen.rar、beifen.zip、beian.rar、data.rar、data.zip、db.rar、db.zip、flashfxp.rar、flashfxp.zip、fdsa.rar、ftp.rar、gg.rar、hdocs.rar、hdocs.zip、HYTop.mdb、root.rar、Release.rar、Release.zip、sql.rar、test.rar、template.rar、template.zip、upfile.rar、vip.rar、wangzhan.rar、wangzhan.zip、web.rar、web.zip、website.rar、www.rar、www.zip、wwwroot.rar、wwwroot.zip、wz.rar、备份.rar、网站.rar、新建文件夹.rar、新建文件夹.zip、以及和域名相关的.rar和.zip文件等等。
我曾经就职过的单位里,一个同事就曾经把网站备份存到了根目录下,命名为了web.zip。那个网站是卖钢铁和炉料信息的一个网站,相当于把所有收费信息都免费公布了,管理员密码也泄漏了,我发现之后就提醒它改掉了这个问题。
公司要求按时备份的话,建议备份文件名使用一串随即的字符,采用大小写和数字以及特殊字符混合的方式命名。
如果黑客用软件反复用枚举字典的方式嗅探我们的备份文件,也会被我们上面waf里设置的过滤规则过滤掉。
安全狗、悬镜、云锁、360安全卫士等软件尽量少用,因为他们会占用你的服务器资源,影响服务器网站的性能,还有一点就是bug比较多,甚至会把管理员从网站后台生成文件给拦截掉,怎么添加白名单也不管用。
第四点,制定员工工作标准
员工人员变更后要及时修改网站用户名密码,员工的电脑要由网络管理员定期检查,安装防病毒软件,首先要制作部门规章制度,上班不许听歌打游戏,更不允许使用游戏外挂,那些基本都带病毒。
曾经呆过的一个单位里,员工上班偷玩游戏,老板走过来的时候,又工作界面盖一下,伪装成好像每天自己工作都很忙的样子。大多数医院员工的工作都是这个状态。有的甚至托朋友找关系,找来这么一个”铁饭碗的工作“。
这样工作的结果是怎样的呢?这名员工在单位里是美工职位,结果通过他上传到服务器上的每张图片都非常的大,有的甚至有几十兆。后来公司的网管排查时才知道,通过他上传的每张图片都感染了病毒,这名员工最后也离职了事。
第五点,要防止肖像权侵权投诉
1名医院网站维护人员的每年的支出5万左右,1个网络部每年人员支出的成本大约20万左右,如果碰上一个碰瓷儿来的三线艺人跟您打肖像权官司,可能二十万全要赔偿对方,所以今天我们要说的就是在网站页面设计的时候,尽量选用本院在职工作人员的照片,在招聘环节,就要招聘颜值高的人加入到团队里,可以培养后安排在前台导诊,办公室行政,文员之类的工作岗位。需要制作宣传图片的时候,直接使用员工的照片。
虽然这么说,但是大约90%以上的医疗企业里没有这样做,反复吃到肖像权侵权的官司,那些人是怎么找到自己网站上来的呢?当然是通过搜索引擎识图工具找到的。
我们通过将以下代码粘贴复制到网站根目录下的robots.txt文件中,即可屏蔽搜索引擎对图片的抓取,从而降低这些风险。
User-agent: *
Disallow: .jpeg$
Disallow: .gif$
Disallow: .png$
Disallow: .bmp$
Disallow: .ico$
Disallow: .CSS$
Disallow: .js$
第六点,在网站代码部分,做上传文件的扩展名过滤。
如果判断是可执行的脚本文件扩展名,则过滤掉。
修复织梦最新程序包里已知漏洞
打开 /include/dialog/select_soft_post.php 找到
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
在它上面加入
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); }
打开 /网站后台目录名/media_add.php(如果网站后台目录名已经改的比较复杂这步也可以忽略)找到
$fullfilename = $cfg_basedir.$filename;
在它上面加入
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){ ShowMsg("你指定的文件名被系统禁止!",'java script:;'); exit(); }
想要了解更详细的操作流程,请关注我吧!
如果您有任何意见或建议,也可以给我留言指出,感谢大家!
