很多人觉得网站被黑是黑客技术高超,其实大多数情况是因为自己没把门关好。就像你家大门敞开着,还指望小偷不进来,这不现实。尤其是做网站的人,服务器一上线,各种扫描工具就开始盯上你的IP,特别是那些常见的开放端口。
别乱开公网映射
很多人为了方便访问内网服务,直接在路由器上做了端口映射,比如把内网电脑的3389、22或者80端口映射到公网。这操作本身没问题,但一旦用了默认端口+弱密码,等于在门口贴了张纸写着‘欢迎来黑’。
举个例子,老王开了个小型网站,图省事把Web服务直接映射在公网80和443端口,后台登录还是admin/123456。结果不到一周,网站就被挂了暗链,搜索引擎直接标记为危险站点。他还不明白咋回事,其实是自动化脚本每天扫成千上万个IP,专找这种配置下手。
改默认端口比装防火墙更有效
很多人一听说不安全,立马去装一堆防火墙规则,其实最简单的办法是换个端口。比如SSH不要用22,改成一个偏门的比如21212;远程桌面不用3389,改成3390。虽然不能完全防住定向攻击,但能躲过大部分批量扫描。
# 修改SSH默认端口示例(Linux)
# 编辑配置文件
sudo nano /etc/ssh/sshd_config
# 找到 Port 22 这行,改成
Port 21212
# 重启服务
sudo systemctl restart sshd改完之后记得在防火墙放行新端口,并关闭旧端口的外部访问。这样哪怕有人扫22端口,也不会有任何响应,相当于隐身了。
只映射必要的端口
有些开发者习惯把数据库端口(如MySQL的3306)也映射出去,方便远程调试。这是大忌。数据库一旦暴露在公网,暴力破解分分钟的事。正确的做法是通过跳板机或VPN接入内网,再访问敏感服务。
如果你非得临时开放,建议配合IP白名单。比如只允许公司办公网络的公网IP访问某个端口,其他一律拒绝。大多数家用宽带IP是动态的,但企业宽带或云服务一般有固定IP,设置起来并不麻烦。
定期检查你的端口开放情况
你可以用一些免费工具测试自己的公网IP有哪些端口是开着的。比如用手机连4G网络,然后访问 yougetsignal.com/tools/open-ports,输入你的域名或IP,它会帮你扫描常见端口是否可访问。
发现不该开的端口还开着?赶紧去路由器或服务器上关掉。有时候你以为关了,其实是配置没保存,或者服务商自动恢复了默认设置。
最小权限原则要牢记
不管是Web程序还是数据库账户,永远遵循‘够用就行’的原则。比如一个读取文章的接口,就给它只读权限,别给删表权限。就算被注入,破坏力也有限。
还有就是文件上传目录,千万别给执行权限。否则黑客传个一句话木马,直接就能在你服务器上跑命令。Apache或Nginx都支持对特定目录禁用脚本执行,这个一定要设。
更新不是麻烦,是保命
很多漏洞都是已知的,只是你没打补丁。操作系统、Web服务器、建站程序(比如WordPress、Discuz),只要出更新,尤其是安全更新,别拖。晚上睡觉前花十分钟升级一下,可能就躲过一次大规模攻击。
有个客户一直用老旧版本的CMS,说‘能用就行’,结果某天整个网站被加密勒索。后来查日志发现,攻击者用的是三个月前就修复过的漏洞,官方早就发了警告,但他一直没更新。