公司集团网站上周被黑了，丢失了很多数据，损失难以想象，怎么防止网站被黑，谁能推荐安全点的方案？

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找你的网站程序提供商。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

防火墙不能有效检测到所有的计算机病毒和网络入侵，但它可以根据预定义的规则和策略检测到某些已知的恶意行为。防火墙可以监控所有进出网络的数据流量，根据端口、协议、源IP地址和目的IP地址等信息进行过滤和控制，阻止那些违反规则的数据传输。这些规则和策略可以根据实际需求进行配置和调整，包括允许或拒绝某些特定的IP地址或端口、限制数据传输速度或协议等。

然而，防火墙并不能阻止那些新型的和未知的病毒或入侵攻击，因此，企业和个人在实际运行防病毒和防入侵方案时，还需要配合其他安全措施，例如定期更新病毒库、使用态势感知系统、实现访问控制等，以有效提高网络安全性和数据保护性。

如何防止网站被上传WebShell网页木马

1 )网站服务器方面，开启系统自带的防火墙，增强管理员账户密码强度等，更改远程桌面端口，定期更新服务器补丁和杀毒软件。

2）定期的更新服务器系统漏洞（windows 2008 2012、linux centos系统），网站系统升级，尽量不适用第三方的API插件代码。

3）如果自己对程序代码不是太了解的话，建议找网站安全公司去修复网站的漏洞，以及代码的安全检测与木马后门清除，国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司，做深入的网站安全服务,来保障网站的安全稳定运行，防止网站被挂马之类的安全问题。

4）尽量不要把网站的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。

5）网站后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为adminasp的路径去访问。

6）服务器的基础安全设置必须要详细的做好,端口的安全策略，注册表安全，底层系统的安全加固，否则服务器不安全,网站再安全也没用

端口漏洞：相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。

1：用139端口入侵

我们先确定一台存在139端口漏洞的主机。用扫描工具扫描！比如SUPERSCAN这个端口扫描工具。假设现在我们已经得到一台存在139端口漏洞的主机，我们要使用nbtstat -a IP这个命令得到用户的情况！现在我们要做的是与对方计算机进行共享资源的连接。

用到两个NET命令，下面就是这两个命令的使用方法

NET VIEW

作 用：显示域列表、计算机列表或指定计算机的共享资源列表。

命令格式：net view [\\computername | /domain[:domainname]]

参数介绍：

<1>键入不带参数的net view显示当前域的计算机列表。

<2>\\computername 指定要查看其共享资源的计算机。

<3>/domain[:domainname]指定要查看其可用计算机的域

NET USE

作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。

命令格式：net use [devicename | ] [\\computername\sharename[\volume]]

[password | ]] [/user:[domainname\]username] [[/delete] |

[/persistent:{yes | no}]]

参数介绍：

键入不带参数的net use列出网络连接。

devicename指定要连接到的资源名称或要断开的设备名称。

\\computername\sharename服务器及共享资源的名称。

password访问共享资源的密码。

提示键入密码。 /user指定进行连接的另外一个用户。

domainname指定另一个域。

username指定登录的用户名。

/home将用户连接到其宿主目录

/delete取消指定网络连接。

/persistent控制永久网络连接的使用。

C:\net use \\IP

C:\net view \\IP

我们已经看到对方共享了他的C，D，E三个盘

我们要做的是使用NBTSTAT命令载入NBT快取

c:\>nbtstat –R 载入NBT快取

c:\>nbtstat –c 看有无载入NBT快取

现在我们已经得到的139端口漏洞的主机IP地址和用户名，现在就该是我们进入他计算的时候了，点击开始---查找--计算机，将刚才找到的主机名字输入到上面，选择查找，就可以找到这台电脑了！双击就可以进入，其使用的方法和网上领居的一样。

2：4899端口入侵

用4899过滤器exe，扫描空口令的机器

黑客这个名词是由英文“hacker”音译来过的。而“hacker”又是源于英文动词“hack”。（“hack”在字典里的意思为：劈砍，引申为“干了一件不错的事情”）

黑客并不是指入侵者。

黑客起源与50年代麻省立功学院的实验室里。他们喜欢追求新的技术，新的思维，热充解决问题。但到了90年代，黑客渐渐变成“入侵者”。

因为，人们的心态一直在变，而黑客的本质也一直在变。许多所谓的黑客，学会技术后，干起犯法的事情。例如，进入银行系统**信用卡密码，利用系统漏洞进入服务器后进行破坏，利用黑客程序（特洛伊木马）控制别人的机子。这些都是可耻的。也因为一件件可耻的事情暴光后，传媒把“黑客”这个名词强加在“入侵者”身上。令人们认为 黑客=入侵者 ！

真正的黑客是指真正了解系统，对电脑有创造有贡献的人们。而不是以破坏为目的的入侵者。

能否成功当一名黑客，最重要的是心态，而不是技术。

曾经，在一个著名的IRC聊天室上，有一群人在评论现在的黑客。

他们说那些利用特洛伊木马程序控制别人的机子，用Windows蓝屏炸弹的菜鸟们耻辱了“黑客”。

这是错的。

谁敢说：“我从来没有用过特洛伊木马程序！”？

就算一个多么厉害的黑客，他也曾经“菜”过。黑客是一步一步走过来的。

使用各种黑客程序，利用漏洞入侵服务器等等的入侵行为，都没有错！

真正耻辱“黑客”的是：某个人利用学到的黑客技术，非法进入主机后，更改，删除和破坏主机的资料。

黑客技术正如一把刀。落在警察里是好工具，落在歹徒里就是一个作案工具。

在同一个IRC聊天室里，也有一些人整天都在谈黑客入侵，却经常说到：我并不是一个黑客！请不要把我看成黑客！

这也是错的。

竟然你曾经入侵过服务器，曾经当过黑客，你也应该清楚黑客的本质！

当一个黑客是一件耻辱的事情吗？承认自己是黑客也是一个耻辱的事情吗？

不是！

我可以对任何一个人说：我是黑客，我自豪！

一个网络安全管理员也曾经是黑客。

假如他连一个黑客常用的入侵方法也不知道，那他是不称职的。

黑客技术给大家带来的更多是新的发现，新的技术。

希望大家记着：没有狼，羊是永远不会进步的！

红客 —— 一个让人肃然起敬的名字！

红客可以说是中国黑客起的名字。英文“honker”是红客的译音。

红客，是一群为捍卫中国的主权而战的黑客们！

他们的精神是令人敬佩的！

破解者 —— 喜欢探索软件程序！

破解者 —— Cracker

破解者，他们的目标是一些需要注册的软件。他们通常利用Debug，找出内存中的密码。

蓝客 —— 特别喜欢蓝色的黑客们！

蓝客，也属于黑客群。

蓝客，是指一些利用或发掘系统漏洞，DoS（Denial Of Service）系统，或者令个人操作系统（Windows）蓝屏。

飞客 —— 电信网络的先行者！

飞客，经常利用程控交换机的漏洞，进入并研究电信网络。

虽然他们不出名，但对电信系统作出了很大的贡献！

《中华人民共和国网络安全法》第二十五条：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

《中华人民共和国网络安全法》第五十九条第一款：网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

那国外服务器网警查不出来吗别以为有***我找不到你，网警是如何通过层层的***查到你的水表，网警抓人全过程：

1不用代理

网民发帖流程： 发帖人 → ISP → 服务器托管商 → 服务器

网警追踪流程： 网监 → 服务器IP → 发帖人IP → 发帖人ISP → 档案

爆菊几率：100%

2只用1层私人***

网民发帖流程：发帖人 → ISP → *** → 服 务器托管商 → 服务器

网警追踪流程：网监 → 服务器IP → ***的IP → 路由日志 → 链接者IP → 链 接者ISP → 办网档案

爆菊几率：100%

3用1层共用***网民发帖流程：

发帖人 → ISP → *** → 服 务器托管商 → 服务器

网警追踪流程：网监 → 服务器IP → ***的IP → ***服务器 → 日志 → 链 接者IP → 链接者ISP → 办网档 案

爆菊几率：100%

4用2层私人***

网民发帖流程：发帖人 → ISP → ***1 → ***2 → 服务器托管商 → 服务 器网警追踪流程：网监 → 服务器IP → ***2的IP → ***2服务器 → 日志查 ***1 → 路由日志 → 链接者IP → 链接者ISP → 办网档案

爆菊几率：100%

5用2层共用***

网民发帖流程：发帖人 → ISP → ***1 → ***2 → 服务器托管商 → 服务 器

网警追踪流程：网监 → 服务器IP → ***2的IP → ***2服务器 → 日志查 ***1 → 日志 → 链接者IP → 链接者ISP → 办网档案

爆菊几率：100%

6用N层私人（共用）

***后删掉 ***，如果发帖人有QQ

网民发帖流程：发帖人 → ISP → ***1 → ***2 → ***3 → ***n服务器 托管商 → 服务器

网警追踪流程：网监 → 服务器IP → 访问网站 → 发帖人常用用户名 → 谷歌一下 → 查到QQ → 找企鹅 公司查近期登录IP

爆菊几率：100%

7用N层私人（共用）

***后删掉 ***，如果发帖人无QQ

网民发帖流程：发帖人 → ISP → ***1 → ***2 → ***3 → ***n服务器 托管商 → 服务器

网警追踪流程：网监 → 服务器IP → 访问网站 → 发帖人常用用户名 → 谷歌一下 → 查到其他论坛注册的 ID → 找管理员查注册（登录）IP爆菊几率：100%

8用N层私人（共用）

***后删掉 ***，如果发帖人再网上没有任何信息

网民发帖流程：发帖人 → ISP → ***1 → ***2 → ***3 → ***n服务器 托管商 → 服务器

网警追踪流程：网监 → 服务器IP → 访问网站 → 无常用用户名 → 根据发帖内容 （如北京市海淀区XX小区） → 监 控整个小区宽带 → 分析 → 找到 IP

爆菊几率：80%

9用N层私人（共用）

***后删掉 ***，如果发帖人再网上没有任何信 息，但电脑上有自动链接网络的软件， 如QQ，金山快盘等。

网民发帖流程：发帖人 → ISP → ***1 → ***2 → ***3 → ***n服务器 托管商 → 服务器

网警追踪流程：网监 → 服务器IP → 访问网站 → 无常用用户名 → 各大公司查IP → 查到常用用户名 → 查历史登 录记录 → 查ip → 爆菊

爆菊几率：100%

10到KFC之类的地方上公共网。

网民发帖流程：发帖人 → KFC → 服务器托管商 → 服务器

网警追踪流程：网监 → 服务器IP → 访问网站 → 看发帖日期时间 → 到KFC → 调监控 → 爆菊

爆菊几率：100%

11到KFC之类的地方上公共网，假设 本次没被监控拍到

网民发帖流程：发帖人 → KFC → 服务器托管商 → 服务器

网警追踪流程：网监 → 服务器IP → 访问网站 → 看发帖日期时间 → 到KFC → 查MAC地址 → 到附近其他公共 网络查此MAC → (如果DHCP会查 计算机名) → 附近监控 → 爆菊爆菊几率：100%