2.Web應(yīng)用程序漏洞

　　很多站長(zhǎng)為了減少開(kāi)發(fā)成本，選擇了一些簡(jiǎn)單易用的開(kāi)源或商業(yè)程序，比如最近漏洞層出不窮的dedecms,ecshop,phpcms等等，而這些程序因?yàn)榘踩�性上的缺失，一直成為了黑客批量入侵的最佳目�?biāo)。

　　而這些漏洞往往都是SQL注入，命令執(zhí)行，文件上傳等可導(dǎo)致服務(wù)器權(quán)限被黑客獲取的高危漏洞。

　　從阿里云云盾安全中心的分析表現(xiàn)，一些應(yīng)用程序安全性表現(xiàn)較差，幾乎成了漏勺，用戶(hù)選擇這些應(yīng)用程序的時(shí)候一定要小心。

　　因?yàn)殚_(kāi)源程序的特性，黑客很容易獲取到程序源代碼，并從中分析出新的漏洞（0day），因此完全開(kāi)源的程序其安全性并不能得到保障，但我們建議您一般需要使用最新版本的程序，因?yàn)樽钚碌陌姹疽话慵航?jīng)修復(fù)了己知的嚴(yán)重漏洞，同時(shí)您還需要關(guān)注這些程序發(fā)布的升級(jí)通知和安全補(bǔ)丁通知。

　　當(dāng)然，普通站長(zhǎng)并沒(méi)有這么多時(shí)間投入到安全維護(hù)上，也不是沒(méi)有一勞永逸的辦法，如果您的服務(wù)器位于阿里云上，我們建議您開(kāi)啟阿里云云盾的WAF功能，開(kāi)啟WAF后，所有針對(duì)您網(wǎng)站的WEB攻擊都能得到有效的防御，并且當(dāng)出現(xiàn)新的漏洞時(shí)，云盾的安全人員會(huì)第一時(shí)間更新虛擬補(bǔ)丁應(yīng)對(duì)新的漏洞攻擊，確保您網(wǎng)站安全無(wú)虞。

　　3 .后門(mén)攻擊和配置漏洞

　　在安全的問(wèn)題上不存在小事，因此在向服務(wù)器傳輸文件，部署應(yīng)用程序時(shí)，很可能就在給服務(wù)器留下安全隱患。

　　目前互聯(lián)網(wǎng)上很多提供應(yīng)用程序下載和分發(fā)的站點(diǎn)，普通的站長(zhǎng)經(jīng)常會(huì)不選擇在官網(wǎng)下載而是直接下載一些別人發(fā)布的應(yīng)用程序來(lái)使用，而這些非官網(wǎng)的應(yīng)用程序其實(shí)大部分都內(nèi)置了各種后門(mén)，當(dāng)您部署上去的時(shí)候己經(jīng)給黑客留下了秘密通道。

　　因此在您部署或遷移一個(gè)新的環(huán)境時(shí)請(qǐng)務(wù)必對(duì)您的應(yīng)用程序進(jìn)行一次整體的安全掃描，可以使用一些常用的殺毒軟件，比如（卡巴，趨勢(shì)）等。

　　同樣嚴(yán)重的問(wèn)題還發(fā)生在一些服務(wù)器配置上：

　　最典型的是FTP 匿名的問(wèn)題，互聯(lián)網(wǎng)上有很多專(zhuān)門(mén)掃描FTP匿名的入侵機(jī)器人，我們經(jīng)常會(huì)發(fā)現(xiàn)一些用戶(hù)給自己的服務(wù)器開(kāi)啟了FTP服務(wù)，但因?yàn)榕渲貌划?dāng)把匿名訪問(wèn)也開(kāi)啟了，但最關(guān)鍵的是匿名的用戶(hù)也有可以寫(xiě)入文件的權(quán)限，導(dǎo)致服務(wù)器最終被入侵。

　　FTP 匿名寫(xiě)入的問(wèn)題主要集中在以下幾種FTP 服務(wù)器上：

　　因?yàn)槿绻�您無(wú)需匿名訪問(wèn)請(qǐng)一定要關(guān)閉匿名訪問(wèn)功能（如圖需將匿名去除），如果需要匿名訪問(wèn)，請(qǐng)僅開(kāi)啟只讀權(quán)限。