51阅读吧 - 为您打造专业优质的文章分享平台!
您的当前位置: 51阅读吧 >

网站服务器|站长们,做网站,选择服务器是关键

一篇 : 站长们,做网站,选择服务器是关键

  "网站是站长的命根子",这句话是不能不承认的事实.多少站长为了提高流量以及回访量,不分昼夜的收集资料,整理资料,发布资料.每天追求这收录得更多,某某关键词排名更高.可能你一直很顺利,每天被各种引擎收录,更新,关键词排名想似很听话似的任你想法而排名.或许你有过以上的经历,但是后面却不知不觉网站被K了.流量变少了.更有可能你的网站永远都是得靠人工宣传了.因为引擎根本没收录你.

  先不提网站需要如何seo,也不谈网站的受欢迎程度,我们都需要建立在有自己的服务器空间来架设属于自己的网站,也有很多站长朋友都是使用买来的空间,用空间的朋友有时候比使用自己服务器的朋友更加担心备案,数据丢失,IDC跑路等各种问题..

  以下我说的都是服务器方面的注意事项,因为我一直以来都是用的服务器(可能很多站长都会说我在显,并不是,下篇文章我会告诉大家选择服务器为什么比购买空间好).

  首先当然是要看对方有没有公司帐号,没有的话,连谈都不要谈下去了.对方要么就是骗子,要么就是做提篮子生意的.

  其次,一个最重要的,服务器带宽,因为我的网站都是下载站(www.001uc.com和www.23134.com),需要的带宽是比较大的,如果在1年前.会有不少IDC给你提供100M下只有5台以下的机器给你使用,但是现在是绝对不可能的了.大家想想,如果不占用大流量的站长,为什么要租服务器呢.另外100M共享下你能知道IDC具体放了多少台机器吗.大家不要只按照常规想想,100M线路直接只接了一个机柜,他或许给30台机器用呢.所以我到现在为止,我不相信IDC所说的100M共享,保证不少于10M的说法,要么就租一个10M独享的.

  对于做私服的,擦边球,或者是收入很能引人眼红的网站,防御是重点,这样的小人很多,他们的本事就是1,好说.2.威胁.3摊牌. 不就是要挂一个广告吗.你跟我好说.可以.我会考虑."要么给我挂广告,要么你的网站不用打开了."对于这样的话.我绝对不会妥协.对于不会分析的人.只会买个攻击软件,买点肉鸡,然后用鼠标点击"开始攻击",这样的人.很令我鄙视他的能力.

  同时,也让我看到这个IDC是多么的不堪一击.自从我租了他们服务器以来,每天24小时都是像电信连接网通机器一样缓慢我还没说什么了.但是一次攻击.仅仅是CC 小流量.他都防御不了.问了多次.不说实话,最后当我把网站全部转移了后(前不久有把网站备份).并且把域名解析的IP也改掉了之后.连接服务器上一看.居然不知道他在哪随便下的一个傲盾软防给我装上了.之前还说的什么2G硬防,难怪让我给服务器帐号密码给他.开硬防.10分钟的事情弄了1天时间还没开.哈哈.

  服务器被攻击导致1天时间网站未能打开,对网站收录,权重方面都会有影响,所以站长们,租服务器或者是买空间,要么选择当地IDC.直接去参观下他们机房,或者有朋友用得不错的IDC介绍给你.前面是我这么一直走过来的经验.不要图一时便宜,最后得不偿失.损失大的是你自己.

二篇 : 入侵JSP网站服务器

在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我对他们托管的三台服务器的主机进行了测试,发现了JSP网站存在的几个问题。
  入侵测试第一步:扫描
  扫描是入侵的第一步,它可以让你对即将入侵的目标有一个全面的了解。同时扫描还有可能发现扫描对象的漏洞,为入侵提供一个指导方向。
  朋友的两台服务器为Linux,一台为Windows系统,在路由器后面还有一台Cisco PIX 525对三台主机进行保护,只允许外部用户连接不同主机的部分端口,例如80,25,110。
  根据检测,Cisco PIX防火墙过滤规则设置比较严密,基本上没有多余端口允许外部用户访问。细致分析后,我发现,目标网络的主机通过地址转换来提供对外访问,内部使用192.168.*.*地址段。
  先不考虑那么多,找个扫描软件来看看主机的安全情况。我找来了X-Scan,在外部对这几台主机进行了端口扫描之后,生成了一份关于端口的报表,发现其中有一个Tomcat服务器,解释的自然就是JSP文件了。
  小知识:
  Tomcat Web服务器是一款开源的适合于各种平台的免费网络服务器。eBay.com与Dell 计算机等知名网站都采用或者曾经采用Tomcat的container容器执行Servlet 与JSP。
  看来,只能通过Web服务进行间接攻击。首先检查TCP 80端口的服务。我发现,新闻搜索的功能是由端口8080提供的,输入http:// 202.103.*.168:8080/之后,得到了一个系统管理登录页面,简单地测试了一下,输入“test/test”作为“用户名/口令”,似乎认证成功,但实际上并不能进入下一个页面。
  专家支招:对于扫描来说,它很容易暴露我们网站的弱势方面。应对扫描,我们可以架设一个蜜罐来误导扫描者,蜜罐可以让系统伪装成到处是漏洞,从而遮蔽真正存在的漏洞,也可以伪装成没有任何漏洞,让入侵者不知道从何入手。
  入侵测试第二步:漏洞尝试
  尝试JSP各种已知漏洞,这个是在扫描结果中无法获得任何有效信息指导入侵的情况下,被迫使用的方法。这种方法虽然效果不一定好,但是往往能够起到意想不到的效果,从而让入侵继续下去。
  我进行了JSP大小写的测试,因为JSP对大小写是敏感的,Tomcat只会将小写的jsp后缀的文件当作是正常的JSP文件来执行,如果大写了就会引起Tomcat将index.JSP当作是一个可以下载的文件让客户下载,若干测试后,我发现这个方法并不奏效,可能管理员已经在服务器软件的网站上下载了最新的补丁。
  我发现大部分的JSP应用程序在当前目录下都会有一个WEB-INF目录,这个目录通常存放的是JavaBeans编译后的class 文件,如果不给这个目录设置正常的权限,所有的class就会曝光。
  而采用JAD软件对下载的class文件反编译后,原始的Java文件甚至变量名都不会改变。如果网页制作者开始把数据库的用户名密码都写在了Java代码中,反编译后,说不定还能看到数据库的重要信息。那么,怎么得到这些文件呢?
  Tomcat版本的缺省“/admin”目录是很容易访问的。输入:http://202.103.*.168/admin/,管理员目录赫然在列。默认情况下,“User Name”应该是admin,“Password”应该是空,输入用户和密码后,并点击“Login”按钮,不能进入,陆续使用了几个比较常见的密码,也无济于事。
  默认情况下,Tomcat打开了目录浏览功能,而一般的管理员又很容易忽视这个问题。也就是说,当要求的资源直接映射到服务器上的一个目录时,由于在目录中缺少缺省的index.jsp等文件,Tomcat将不返回找不到资源的404错误,而是返回HTML格式的目录列表。
  想到了这点后,我打开刚才用X-Scan扫描后生成的报表文件,找到“安全漏洞及解决方案”栏目,看到了几个可能会有CGI漏洞的目录。在地址栏输入其中之一,返回结果如图1所示。
500)this.width=500" title="点击这里用新窗口浏览图片" />

一些很典型的JSP文件和JS文件都列出来了。大喜之下,随便选择一个文件,点击右键,然后,选择“用FlashGet下载全部链接”选项,于是,这个目录下的所有文件都被我下载到了本地。
  其中最有价值的是一个名字为dbconn.js的文件,看来程序设计者是为了方便省事,把一些数据库连接的密码和连接地址都写在里面了(这是很多开发者可能会忽略的问题)。不过,我现在最关心的还是Tomcat的管理员密码。
  简单破解后,发现Tomcat系统中的admin用户使用了非常简单的口令:web123456。利用这个漏洞,有了这个密码,下面的工作就相对简单了。
  专家支招:对于网站中的漏洞,我们要即时打上各种补丁,然后对几个已知的安全弱势方面进行加强,比如我们可以将“/admin”目录进行修改,让入侵者不容易找到管理路径。然后关闭Tomcat的目录浏览功能,让入侵者的漏洞尝试彻底失败。
  入侵测试第三步:注入攻击
  很多网站对于注入防范做得都很不到位,注入攻击可以让网站暴露出自己的数据库信息以至于暴露数据库表中的管理员账号和密码。
  重新登录Tomcat的管理界面,点击“Context (Admin)”这个链接,列出了WEB目录下的一些文件和目录的名称,现在就可以对Tomcat的Context进行管理,例如查看、增加、删除Context。
  回到Tomcat的管理界,我发现了一个上传文件的组件,并且网站还有一个论坛。于是,我编写了一个input.jsp文件,并将它当作一般的Web 应用程序,通过上传的组件上传到对方的WEB目录里。打开input.jsp这个页面(图2)。
500)this.width=500" title="点击这里用新窗口浏览图片" />
  网页对查询窗体不会做任何输入验证,但是对用户名称的窗体则会。将数据填入窗体,来测试一下网页的漏洞,例子如下:
  (1)将alert(document.cookie)填入搜索字段,以便用XSS 来显示进程的cookie。
  (2)将填入搜索字段来示范HTML 注入攻击。
  通过这些方法,我得到了一些论坛的用户信息,当然,这些都是针对JSP做的一些测试,以验证Web应用程序中的所有输入字段。有了用户信息,却没有密码,怎么办?在登录时,我发现了一个8888端口,这会是个什么服务呢?
  专家支招:在网页连接数据库的设计中,网页设计人员要加入对一些敏感符号的审核机制,屏蔽一些在数据库中有作用的符号,这可以在很大程度上成功防御注入攻击。
  入侵第四步:攻其“软肋”
  根据入侵的逐渐深入,系统存在的安全问题也渐渐清楚,下面就是针对网站的安全“软肋”进行攻击。一般针对安全“软肋”的攻击会使入侵成功。
  打开地址后,我发现这个端口运行的是Apache PHP。也就是说,这台主机还可以编译PHP。从经验分析来看,管理员在JSP主机上同时安装PHP的主要目的可能是为了管理MySQL数据库。因此,这个端口很可能有phpMyadmin这款MySQL数据库管理软件。这个端口上会不会有数据库管理目录呢?
  果然不出我所料,在输入这个目录之后我发现,我进入了一个phpMyadmin的管理界面,可以对MySQL数据库进行任意操作。它支持从本地操作系统读入或者写入数据。更不可理解的是,管理员居然用root账户写在了数据库链接里面,想不控制这个数据库都不行了。
  打开其中的一个数据库,在“SQL”中输入“SELECT * FROM `administer`”,administer表中的数据全部显示出来了。和我前面用JSP探测的用户类型大致一致。至于他们的表和数据的删改权限,现在则完全在我的掌握之中了。
  专家支招:使用了一些软件的时候,我们尽量修改它的默认目录,将它改为一个不容易被猜解到的名字。同时在访问该目录的时候加入密码审核机制,就算入侵者找到了这个管理目录也无法获得进入目录的密码。

三篇 : 实例讲解:入侵JSP网站服务器

在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我对他们托管的三台服务器的主机进行了测试,发现了JSP网站存在的几个问题。
  入侵测试第一步:扫描
  扫描是入侵的第一步,它可以让你对即将入侵的目标有一个全面的了解。同时扫描还有可能发现扫描对象的漏洞,为入侵提供一个指导方向。
  朋友的两台服务器为Linux,一台为Windows系统,在路由器后面还有一台Cisco PIX 525对三台主机进行保护,只允许外部用户连接不同主机的部分端口,例如80,25,110。
  根据检测,Cisco PIX防火墙过滤规则设置比较严密,基本上没有多余端口允许外部用户访问。细致分析后,我发现,目标网络的主机通过地址转换来提供对外访问,内部使用192.168.*.*地址段。
  先不考虑那么多,找个扫描软件来看看主机的安全情况。我找来了X-Scan,在外部对这几台主机进行了端口扫描之后,生成了一份关于端口的报表,发现其中有一个Tomcat服务器,解释的自然就是JSP文件了。
  小知识:
  Tomcat Web服务器是一款开源的适合于各种平台的免费网络服务器。eBay.com与Dell 计算机等知名网站都采用或者曾经采用Tomcat的container容器执行Servlet 与JSP。
  看来,只能通过Web服务进行间接攻击。首先检查TCP 80端口的服务。我发现,新闻搜索的功能是由端口8080提供的,输入http:// 202.103.*.168:8080/之后,得到了一个系统管理登录页面,简单地测试了一下,输入“test/test”作为“用户名/口令”,似乎认证成功,但实际上并不能进入下一个页面。
  专家支招:对于扫描来说,它很容易暴露我们网站的弱势方面。应对扫描,我们可以架设一个蜜罐来误导扫描者,蜜罐可以让系统伪装成到处是漏洞,从而遮蔽真正存在的漏洞,也可以伪装成没有任何漏洞,让入侵者不知道从何入手。
  入侵测试第二步:漏洞尝试

  尝试JSP各种已知漏洞,这个是在扫描结果中无法获得任何有效信息指导入侵的情况下,被迫使用的方法。这种方法虽然效果不一定好,但是往往能够起到意想不到的效果,从而让入侵继续下去。
  我进行了JSP大小写的测试,因为JSP对大小写是敏感的,Tomcat只会将小写的jsp后缀的文件当作是正常的JSP文件来执行,如果大写了就会引起Tomcat将index.JSP当作是一个可以下载的文件让客户下载,若干测试后,我发现这个方法并不奏效,可能管理员已经在服务器软件的网站上下载了最新的补丁。
  我发现大部分的JSP应用程序在当前目录下都会有一个WEB-INF目录,这个目录通常存放的是JavaBeans编译后的class 文件,如果不给这个目录设置正常的权限,所有的class就会曝光。
  而采用JAD软件对下载的class文件反编译后,原始的Java文件甚至变量名都不会改变。如果网页制作者开始把数据库的用户名密码都写在了Java代码中,反编译后,说不定还能看到数据库的重要信息。那么,怎么得到这些文件呢?
  Tomcat版本的缺省“/admin”目录是很容易访问的。输入:http://202.103.*.168/admin/,管理员目录赫然在列。默认情况下,“User Name”应该是admin,“Password”应该是空,输入用户和密码后,并点击“Login”按钮,不能进入,陆续使用了几个比较常见的密码,也无济于事。
  默认情况下,Tomcat打开了目录浏览功能,而一般的管理员又很容易忽视这个问题。也就是说,当要求的资源直接映射到服务器上的一个目录时,由于在目录中缺少缺省的index.jsp等文件,Tomcat将不返回找不到资源的404错误,而是返回HTML格式的目录列表。
  想到了这点后,我打开刚才用X-Scan扫描后生成的报表文件,找到“安全漏洞及解决方案”栏目,看到了几个可能会有CGI漏洞的目录。在地址栏输入其中之一,返回结果如图1所示。
500)this.width=500" title="点击这里用新窗口浏览图片" />
一些很典型的JSP文件和JS文件都列出来了。大喜之下,随便选择一个文件,点击右键,然后,选择“用FlashGet下载全部链接”选项,于是,这个目录下的所有文件都被我下载到了本地。
  其中最有价值的是一个名字为dbconn.js的文件,看来程序设计者是为了方便省事,把一些数据库连接的密码和连接地址都写在里面了(这是很多开发者可能会忽略的问题)。不过,我现在最关心的还是Tomcat的管理员密码。
  简单破解后,发现Tomcat系统中的admin用户使用了非常简单的口令:web123456。利用这个漏洞,有了这个密码,下面的工作就相对简单了。
  专家支招:对于网站中的漏洞,我们要即时打上各种补丁,然后对几个已知的安全弱势方面进行加强,比如我们可以将“/admin”目录进行修改,让入侵者不容易找到管理路径。然后关闭Tomcat的目录浏览功能,让入侵者的漏洞尝试彻底失败。
  入侵测试第三步:注入攻击
  很多网站对于注入防范做得都很不到位,注入攻击可以让网站暴露出自己的数据库信息以至于暴露数据库表中的管理员账号和密码。
  重新登录Tomcat的管理界面,点击“Context (Admin)”这个链接,列出了WEB目录下的一些文件和目录的名称,现在就可以对Tomcat的Context进行管理,例如查看、增加、删除Context。
  回到Tomcat的管理界,我发现了一个上传文件的组件,并且网站还有一个论坛。于是,我编写了一个input.jsp文件,并将它当作一般的Web 应用程序,通过上传的组件上传到对方的WEB目录里。打开input.jsp这个页面(图2)。
500)this.width=500" title="点击这里用新窗口浏览图片" />
  网页对查询窗体不会做任何输入验证,但是对用户名称的窗体则会。将数据填入窗体,来测试一下网页的漏洞,例子如下:
  (1)将alert(document.cookie)填入搜索字段,以便用XSS 来显示进程的cookie。
  (2)将填入搜索字段来示范HTML 注入攻击。
  通过这些方法,我得到了一些论坛的用户信息,当然,这些都是针对JSP做的一些测试,以验证Web应用程序中的所有输入字段。有了用户信息,却没有密码,怎么办?在登录时,我发现了一个8888端口,这会是个什么服务呢?
  专家支招:在网页连接数据库的设计中,网页设计人员要加入对一些敏感符号的审核机制,屏蔽一些在数据库中有作用的符号,这可以在很大程度上成功防御注入攻击。
  入侵第四步:攻其“软肋”
  根据入侵的逐渐深入,系统存在的安全问题也渐渐清楚,下面就是针对网站的安全“软肋”进行攻击。一般针对安全“软肋”的攻击会使入侵成功。
  打开地址后,我发现这个端口运行的是Apache PHP。也就是说,这台主机还可以编译PHP。从经验分析来看,管理员在JSP主机上同时安装PHP的主要目的可能是为了管理MySQL数据库。因此,这个端口很可能有phpMyadmin这款MySQL数据库管理软件。这个端口上会不会有数据库管理目录呢?
  果然不出我所料,在输入这个目录之后我发现,我进入了一个phpMyadmin的管理界面,可以对MySQL数据库进行任意操作。它支持从本地操作系统读入或者写入数据。更不可理解的是,管理员居然用root账户写在了数据库链接里面,想不控制这个数据库都不行了。
  打开其中的一个数据库,在“SQL”中输入“SELECT * FROM `administer`”,administer表中的数据全部显示出来了。和我前面用JSP探测的用户类型大致一致。至于他们的表和数据的删改权限,现在则完全在我的掌握之中了。
  专家支招:使用了一些软件的时候,我们尽量修改它的默认目录,将它改为一个不容易被猜解到的名字。同时在访问该目录的时候加入密码审核机制,就算入侵者找到了这个管理目录也无法获得进入目录的密码。

四篇 : 网站服务器选择windows主机好还是linux主机好

当你心爱的网站就要做起的时候,你不得不给它找一个稳定的家,让它以后能稳定的运行、发展。市场上的网站空间按系统来分可以划分成两大类——Windows和Linux,那他们哪个好呢?哪个更能让你的网站高效运作呢?现在,我从需求性、稳定性、操作性、安全性、性价比来分析一番,然后您就知道该选哪款空间了。

需求性:

这个要看您网站选取的语言,如果是asp建设的网站,毫不犹豫应该选择Windows主机,Linux不支持asp系列的语言;如果是PHP语言建设的网站,建议选择Liunx主机,因为在liunx平台中,Linux+Apche+Mysql构架运行PHP网页可以更高效,更稳定。Linux空间还支持zend加速等,让你的网站跑的更顺畅!

稳定性:

主机的稳定性是至关重要的,关系着网站的生存发展,如果稳定性不够好的话,就会影响用户的访问,也会影响网站的优化,导致没有排名,这对于用户体验度的影响是非常大的。通常来说,Linux稳定性要比Windows好些,因为Linux开源,一般很少有漏洞,就很少会招到网络攻击。再就是Windows的图形界面需要占很多资源,而Linux系统去掉图形界面的包袱,系统运行得更快。

Windows配置变化的时候,通常需要重新启动,这导致不可避免的停机,而Linux通常不需要重新启动。几乎所有的Linux系统配置的改变都能在系统运行中操作,而且还不会影响其他无关的服务。

所以,Liunx要更稳定。


操作性:

Windows系统的普及和它的图形化界面让我们每个懂电脑的人都不会陌生了,而Linux服务器一般是纯命令行模式,每完成一个操作,比如新建一个文件夹,都要用一串命令来完成。所以从操作性来讲,Liunx操作性要困难些。

安全性:

从安全漏洞的数量上来说,Linux的开源开发方式有助于发现错误,集众人智慧解决问题,各种补丁更新得很快,这是Windows主机不具备的优势。Linux系统也有自己的缺点,就是厂商开发的硬件和相关驱动一般针对的是Windows系统,使得Linux的硬件兼容相对延后。Linux主要用作支持网络功能的操作系统,默认安装时启动了很多不必要的网络应用程序,这就可能造成安全漏洞。

还有Linux里面的权限分配的很细致、严格,各个用户之间也相互独立,所以安全性较好。

性价比:

从这点来讲,我想Linux的优势是显而易见的,因为Linux作为资源管理和操作系统来说,是开源、免费的。而Windows服务器系统是要收费的,相应,Windows里面的某些软件也是收费的。因此,Windows主机的成本就要比Linux高很多,自然Windows空间要贵一些。

那么现在很明显,Linux空间是比较有优势的,只不过它只能跑纯静态html或php建设的网站。所以如果网站只用到了php语言,那么选Linux空间是很不错的,无论从安全还是性能,都比windows有优势。反正,如果是asp或.net系列的网站,就选windows主机吧。

最后提示一点,不论您选择windows主机还是linux主机,首先绝对不能贪图便宜而选择一些不权威的主机商的空间,一定要选择可靠的虚拟主机,在站长圈中口碑不错的主机商。否则等以后网站经常不能正常访问的时候才后悔莫及。

上一篇:卧室设计|装出不一样的卧室设计 上一篇:PS调色教程|PS为漫画插画上色教程
与该文相关的文章

温馨提示:如果您对51阅读吧有任何建议,请通过网站联系邮箱向我们反馈,感谢各位的建议与支持!