谈谈网站防范恶意扫描

谈谈网站防范恶意扫描

只要是对外服务的服务器,总会或多或少受到一些小黑客的“光顾”。
在购买了VPS 后不久,登录看看日志,有时候会把你吓一跳,那么多扫描的“脚印”。他们不是针对性的攻击,而是全网的对服务器恶意扫描,对此可以采取下面一些防范措施,降低服务器被爆的风险。

一些基本的防范:

1 禁ping


对付全网扫描,禁ping可使得对方以为主机不存在,从而“隐藏”了自己。
修改/etc/sysctl.conf的下面一行,没有则增加
net.ipv4.icmp_echo_ignore_all=1 (1 禁止,0 允许)
配置后执行:sysctl -p

2 改掉一些常用默认端口


大多数扫描工具进行网站扫描,都是进行公共协议扫描,比如21(ftp)、22(ssh)、3389(windows 远程登陆) 等,这些端口的服务,多数是自用的,应该把这些服务端口改掉。如果这些服务默认开启,而自己不用的,应当关掉。
但对于一些服务大众的服务默认端口,如http 的80 端口不能改掉。

3 禁止IP直接访问


对外的Web服务,自己或者用户很少直接使用ip 访问自己网站的,如果有通过ip直接访问,很可能是爬虫在搞事了。针对这种,Web 服务可设置禁止,返回错误或者定向到其他网站去,可以一定程度上提防网站被扫描。设置方法如下:
apache:

#配置文件内加上这个
<VirtualHost 192.168.88.106:80>
    <Location />
        Order Allow,Deny
        Deny from all
    </Location>
    ServerName 192.168.88.106
</VirtualHost>

nginx:

server { 
    listen 80 default; 
    return 500;
    #rewrite ^(.*) http://www.baidu.com; # 或者让其跳转
} 

4 设置复杂的密码


这个最为关键,设置密码,最忌使用弱口令,我们设置密码时候,需要的是一个好记而有“复杂”——难被枚举的密码,使得扫描爆破的时间接近无限,从而保护自己。
关于口令设置之前有一篇:《如何设置一个安全的密码》

(全文完)

(欢迎转载本站文章,但请注明作者和出处 云域 – Yuccn

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注