日期:2010-03-03  浏览次数:20714 次

  总有网站向EeSafe求救:“网站遭到攻击了”,“网站首页被人篡改了”,“网站数据库访问不到了”…….

  作为专业的专门为网站解决各种和安全有关问题的团队来说,我们总是在告诉站长要解决问题首先要怎么样,其次要怎么样,直到最后才深入到技术要解决的方面。有时候网站站长很不理解,觉得为什么不立即用技术解决面临的问题,我们也感觉很无奈。因为大部分网站如果直接用技术去解决面临的问题会造成更坏的后果。要解释清楚这个问题的原因,需要一个很长的篇幅。但还是想把原因说清楚,说明白,如果在这个过程中能让更多的站长在网站安全管理方面得到很好的提升,这将是对我们最大的勉励。

  接到的都是突发性事件:

  “网站遭到攻击了”,“网站首页被人篡改了”这些都是网站站长突然发现的网站安全事件,可能会直接影响网站的访问,影响网站本身会员的正常使用,甚至会影响网站被搜索引擎的收录,网站的权重等等。那大家肯定都想最快速的解决面临的问题,让网站恢复正常。单纯解决这些问题不难,网页被人篡改的直接修改到正确的页面就能解决。网站被攻击导致无法访问大部分换ip解析也能够最快速的解决。但关键是找到原因,防止被继续篡改,被继续攻击。所以,找原因才是关键,但在我们帮助的网站中,能够顺利找到原因的少之又少,这也就是为什么我们总是在告诉站长首要怎样,其次要怎样,因为要找到,要解决网站出现安全问题的原因得从网站的开发阶段到网站的运营阶段逐层回溯,这就要求有个流程,一个能够找到,解决网站安全问题的处理流程,这个流程我们有。另外一个就是要网站提供的,一个网站在各阶段产生的各种文档。在解决网站安全问题时,两者缺一,就会使安全问题得不到及时解决,给网站造成更大的损失。

  拿一个网页篡改的例子来说吧。

  发生网页被篡改这种网站安全问题,在我们接触的网站中最着急的要算政府网站。但也有例外。我们接到求救后:

  首先,会指派团队中的某人接管这一任务,这被指派的人大致会问求救网站这些问题?:

  (1) 网站的域名?(2)网站的服务器IP?(3)网站服务器当前的具体位置?(4)被篡改的网页URL?(5)被篡改的可能开始时间(6)恢复后继续被篡改的间隔时间(7)第一次篡改后网站所做的工作(8)网站第一次被篡改前所进行的网站操作(9)网站的大致结构说明(10)出现问题前10天的网站的访问日志及网站服务器的log日志(11)网站相应的安全防范方式……..

  这些问题的准确性直接决定接受你问题的人员对问题的处理速度和处理质量。可在接触的网站中,能够在出现问题是回答质量比较高的网站只占到20%,那这些问题的答案从哪里来,就是我们在上面提到的网站在进行管理时产生的各种文档。给大家列一下:

  1、网站域名(可能好多文档都有这个内容,就不说了)

  2、网站服务器IP(不要说都知道,大部分使用虚拟主机和共享ip的站长都不清楚)。

  3、网站服务器当前的具体位置

  4、被篡改的网页URL(不是要什么栏目的什么模块被篡改了,而是要具体的url,比如http://www.eesafe.com/bbs/thread-342-1-1.html地址,应该来自你的网站维护文档记录)

  5、被篡改的可能开始时间(你发现或被人发现的第一时间,应该来自你的网站问题记录单)

  6、恢复后继续被篡改的间隔时间(也就是将篡改页面改回以后又被篡改之间的间隔时间,应该来自你的网站问题记录单)

  7、第一次篡改后网站所做的工作(也就是发生了问题之后你做了哪些事情,来自网站维护记录文档)

  8、网站第一次被篡改前所进行的网站操作(来自网站维护记录文档)

  9、网站的大致结构说明(不是需要网站开发说明书,而是最新的可访问功能地址入口说明,应该来自网站的构造说明配置图)

  比如:网站后台登陆 : 功能说明,提供给网站管理员,用于基本的网站维护工作。

  URL:http://www.eesfe.com/db.html

  10、出现问题前10天的网站的访问日志及网站服务器的log日志(来自日志留存系统)

  11、网站相应的安全防范方式(硬件拓扑图及开发使用手册)

  ……………….

  这些文档来自哪里,其实不是从你记录下来的东西分类,而是应该是你在管理网站是产生的各种中间文档。所以,如果你缺少这些文档,你又想最快时间解决遇到的安全问题,两个办法:一、凭运气,凭直觉判断直接找点进行补救。二、学习,贯彻系统的网站管理流程,坚持下来,遇到问题套处理流程准确定位补救。速度是一样的,但效果和质量却不是一个级别的。

  原创文章,纯手打,转载请注明出处:EeSafe网站安全联盟-网络安全交流区

  原文地址:http://www.eesafe.com/bbs/thread-342-1-1.html