其实让我写这篇文章我是拒绝的 但是我在看了国内某些IDC服务商 特别是互联中国的一些做法的时候 就不得不让人很恼火了
首先我们来谈谈在虚拟主机的业务安全性讨论
其实国内大部分虚拟主机都是做的比较好的 比如万网 爱名网 美橙互联 等 其中以上3个IDC服务器商在一些服务上就做的很周到 之前笔者用过爱名网的虚拟主机 安全性都是很好的
虚拟主机安全性来说的话 现在国内星外一家独大 但是星外在之前被爆出存在提权漏洞 (当然在当时盛传只要星外开了NET基本就是死的节奏 但是星外的网站搬家功能则是很强大的 他就不会把客户的网站随意放在web目录下面 针对互联中国把客户网站打包在web根目录下的这种做法 看似简单的处理行为 实际上是作死的行为
其不利方面有三:
1.如果遇到黑客针对性渗透 长期以外没有任何思路突破 也许就在哪一天的哪一秒的某个时刻 刚好遇到你网站正在搬家(我在这申明一点 星外的网站打包 是打包在db目录下的 也就是说这个目录只允许客户用FTP去下载 而不允许域名/xx.rar或者xx.zip这种方式去下载) 互联中国的做法虽然简单 可以完成快速搬家 但是其安全隐患是非常大的 如果遇到“黑客针对性渗透” 那么结果是很可怕的
2.针对网站源码泄漏导致整站沦陷的经典案例
http://www.wooyun.org/bugs/wooyun-2010-0110617
http://www.wooyun.org/bugs/wooyun-2010-0110134
http://www.wooyun.org/bugs/wooyun-2010-0108967
其中第三例 就是互联中国搬家的“经典”做法 如果互联中国的客户是一个大型的企业类网站 试问 源码泄漏导致数据库被脱 责任互联中国能负担的起么? (更何况笔者的网站就是一个企业网站 上面会员数不下50万)
3.引发运维人员的安全性思考
我在此只能说明互联中国的运维人员是非常不专业的 因为只要稍微有一点安全意识的运维来说 任何把源码打包在网站根目录都是非常冒险的做法 如果遇到1提到的针对性渗透 那么就是很大的灾难 就算我要把客户的网站 因为客户搬家的需要 我的专业性建议是吧打包的文件改名 或者改成随机字符 不要是特定的字符 因为在黑客的扫描字典里 很有可能就有你打包的字符名字 (瞎猫碰到死耗子也是有可能的) 或者给打包文件进行加密处理 这样就算黑客拿到了你的源码 他也得花时间去破解 (如果你的加密密码足够强大的话,让丫破解去吧)
写在最后
安全无小事 请不要把安全当儿戏 任何一个非常小的细节 就会导致就会导致整个网站(数据库、内网)的沦陷.
7kb.org 原创,如有转载请注明出处 www.7kb.org