云計算防入侵最佳實踐

　　2.Web應用程序漏洞

　　很多站長為了減少開發(fā)成本，選擇了一些簡單易用的開源或商業(yè)程序，比如最近漏洞層出不窮的dedecms,ecshop,phpcms等等，而這些程序因為安全性上的缺失，一直成為了黑客批量入侵的最佳目標。

　　而這些漏洞往往都是SQL注入，命令執(zhí)行，文件上傳等可導致服務器權(quán)限被黑客獲取的高危漏洞。

　　從阿里云云盾安全中心的分析表現(xiàn)，一些應用程序安全性表現(xiàn)較差，幾乎成了漏勺，用戶選擇這些應用程序的時候一定要小心。

　　因為開源程序的特性，黑客很容易獲取到程序源代碼，并從中分析出新的漏洞（0day），因此完全開源的程序其安全性并不能得到保障，但我們建議您一般需要使用最新版本的程序，因為最新的版本一般己經(jīng)修復了己知的嚴重漏洞，同時您還需要關(guān)注這些程序發(fā)布的升級通知和安全補丁通知。

　　當然，普通站長并沒有這么多時間投入到安全維護上，也不是沒有一勞永逸的辦法，如果您的服務器位于阿里云上，我們建議您開啟阿里云云盾的WAF功能，開啟WAF后，所有針對您網(wǎng)站的WEB攻擊都能得到有效的防御，并且當出現(xiàn)新的漏洞時，云盾的安全人員會第一時間更新虛擬補丁應對新的漏洞攻擊，確保您網(wǎng)站安全無虞。

　　3 .后門攻擊和配置漏洞

　　在安全的問題上不存在小事，因此在向服務器傳輸文件，部署應用程序時，很可能就在給服務器留下安全隱患。

　　目前互聯(lián)網(wǎng)上很多提供應用程序下載和分發(fā)的站點，普通的站長經(jīng)常會不選擇在官網(wǎng)下載而是直接下載一些別人發(fā)布的應用程序來使用，而這些非官網(wǎng)的應用程序其實大部分都內(nèi)置了各種后門，當您部署上去的時候己經(jīng)給黑客留下了秘密通道。

　　因此在您部署或遷移一個新的環(huán)境時請務必對您的應用程序進行一次整體的安全掃描，可以使用一些常用的殺毒軟件，比如（卡巴，趨勢）等。

　　同樣嚴重的問題還發(fā)生在一些服務器配置上：

　　最典型的是FTP 匿名的問題，互聯(lián)網(wǎng)上有很多專門掃描FTP匿名的入侵機器人，我們經(jīng)常會發(fā)現(xiàn)一些用戶給自己的服務器開啟了FTP服務，但因為配置不當把匿名訪問也開啟了，但最關(guān)鍵的是匿名的用戶也有可以寫入文件的權(quán)限，導致服務器最終被入侵。

　　FTP 匿名寫入的問題主要集中在以下幾種FTP 服務器上：

　　因為如果您無需匿名訪問請一定要關(guān)閉匿名訪問功能（如圖需將匿名去除），如果需要匿名訪問，請僅開啟只讀權(quán)限。