本文由 Coxxs 原创,转载请注明原文链接:https://dev.moe/582
十年前,PC 还是主流,BBS 占据了中国互联网很大一部分。Dvbbs、phpwind 和 Discuz! 三分论坛程序市场。
十年后,移动设备成为了大多数人主要的联网方式,QQ、微信、微博成为了大多数人的日常。昔日繁荣的论坛,有的努力转型,争取移动用户;有的则是随着时代的发展,逐渐没落。
不少逐渐没落的论坛,并没有被站长完全放弃。站长依然努力保持着最低限度的维护,许多会员依然会时不时想起这个论坛,上去发几篇帖子。论坛里大量用户产生的内容,也成为了互联网历史中的宝贵财富。但恐怕,这样的场面,并不能持续太久。
Tom Scott 的一段演讲令我印象深刻:
许多用了多年的网络留言版,一旦管理员的密码(或论坛程序本身)被黑客攻破,就基本等同于网站的永久关闭。因为大多数小网站根本没有备份,能在受攻击后恢复的网站并不多。
安全提示
虽然我不是安全从业人员,但是几年站长做下来,依然积累了一些相关经验,希望对其他站长有所帮助。
1. 任何网站都可能被攻击
标题看上去像是一句废话 = =||,但确实有不少站长觉得,他们的网站不值钱,没什么重要数据,黑客不会去攻击。可是黑客一般不这么想。他们手上有公开的,或者在私下传播的扫描器,可以批量对网站进行“安全检查”,并且自动化入侵。可能他们都不需要知道目标网站是什么,只需要写好扫描器,按一下回车,目标网站就开始帮他们开“澳门··”了。
然后,网站对应的域名通常会被国内安全公司列为“危险网站”,甚至吊销备案。
2. 保持定期、异地的备份习惯
这是确保网站能够长期运行的底线。定期备份可以确保网站遭受灾难事件时,能够恢复到近期(而不是 n 年前)的状态;异地备份可以确保灾难事件发生时,备份数据不会同时丢失。
对于 Discuz! 的备份,主要包含网站文件(附件、用户头像等)和数据库。可以写一个脚本来实现定期备份。
如果有条件,建议还要定期检查备份文件是否正确、完整,并最好有至少一份物理隔离的备份。
3. 保持网站系统最新
就 Discuz! X 而言,官方很少会披露新版本到底修了什么问题,站长可能也觉得更新麻烦,没遇到问题就不更新了。但是安全从业人士可以很快通过代码比对,分析出每个版本更新具体修复的安全漏洞,黑客也可以快速利用漏洞进行批量入侵。
举个例子,如果网站还在使用 Discuz! X3.3 之前的版本,网站文件可以被黑客任意删除,立即造成宕机。
所以,别拖了。现在,立刻,更新。
4. 设置正确的文件权限
一种常用的入侵手法是先上传一个 webshell 文件,通过访问这个文件对整个服务器进行控制。我们可以对用户上传的目录设置禁止执行、对网站程序本身的目录设置禁止写入。
对于 Discuz! X 论坛:
- 除 /data/、/uc_server/data/ 目录外,其他目录及文件均设为禁止写入。
- 对于 /data/、/uc_server/data/ 目录,禁止访问 .php 等脚本文件。
以上第 1 点可通过文件系统设置权限(如 chown、chmod),第 2 点可在网站服务器(如 nginx)中配置。
5. 加强有权限的人员的密码安全
大多数站长都很重视自己的密码安全。毕竟,自己的密码一旦泄露了,危险性显而易见。但是不少站长会忽视其他有权限的人员(如版主、副管理)的密码安全。许多入侵也是从这些人员的帐号开始的。
除了口头提醒他们外,对于 Discuz! X ,后台也提供了密码强度相关的设置,可以简单地防止部分弱密码。
6. 尽快转换到 https
如果你的网站还在使用 http,请尽快转换到 https。除了避免 ISP 插广告,也可以避免敏感信息(如密码)被截获。
值得一提的是,Discuz! 自带的“密码加密后传输”是没有太大意义的:
- 中间人可以直接截取 Cookies,获取帐号权限
- 中间人可以利用截获的 MD5,直接重放用于登录。
- MD5 较弱,依然容易被破解出原密码。
- 中间人可以劫持并去掉加密步骤,让密码重新以明文传输。
如果要保证安全,https 可以说是唯一选择。
事实上,以上六条对于所有网站都适用。在下一篇文章中,我们会针对 Discuz! X 已公开的漏洞报告,做一些额外的漏洞修复。
Coxxs
现在,立刻,删除你的论坛
???? 可以,这很安全
现在,立刻,关掉你的服务器!
现在立刻 请拔掉你的电源!
看了下评论,噗呲