服务器问答

有人愿意做付费的服务器安全维护吗?
0
1975-02-20 19:47:59
idczone
公司的网站(discuzX程序,权重较高,行业门户),放在linode上,这几天美国服务器可能是被注入了木马,然后接着提权,先是删部分mysql数据表,接着直接删可写目录的文件,服务器的出入口流量也大幅增加,感觉像竞争对手蓄意的破坏。

因为我们公司IT部门是花钱的部门,在运维和安全这块一直是短板,即使网站规模扩大也没有投入太多人员和精力去做。

如果有愿意帮忙维护公司网站安全的牛人,我们提供付费服务。最好是品行端正没有其他要求(为什么提这个呢,不要误解,因为之前有黑客黑站以后找到我,说帮维护网站,但要求挂他的客户的链接)

不熟悉安全行业,google好像也找不到类似的公司……可能这个行业的人都不愿意抛头露面吧
我只能提点建议,做安全维护太累,钱少了也没人愿意做
1.不要采用那些免费的一键安装环境,采用DA面板 CGI模式安装php 后台可以用自带的备份系统每天备份 同时每个站点都是严格的权限分离,DA国内大约350~400 永久授权.
2.论坛附件采用FTP或者阿里云 又拍云 七牛云 这样的存放模式
3.严格按照DZ官方要求 设置每一个目录权限
4.安装流量统计系统 统计每日流量
5.服务器采用密钥文件登录

出门左转,各家的CDN,不谢

php权限最重要
可以联系我们

不介意是个人的话,可以联系我,六年运维

出问题了,才想起找专业运维。这是个坑啊!
说白了,就是不重视。临时找,费用肯定不便宜,钱又少没人做。

感觉怎么说都别扭~可是又想说点啥。
来个酱油吧:
1. 和团队合作靠谱程度高;
2. 个人合作,短中期都行,长期难度高;
3. 觉得你说明的环境,很难解决实际问题,主要是不被重视。

补充下一楼的,说下我们生产中的配置
1.nginx lua-waf 配合limit-req limit-conn防web攻击和cc
2.严格限制目录权限,关掉不必要的php函数和扩展,设置好open based dir防跨目录
3.系统内核打好䃼丁,把nginx php-fpm用chroot降权运行,设置最小权限
4.任何密码都不要用弱口今,用iptables 限制好进出的流量
5.dz不安全多数是插件的问题,配置可以按照官方文档检查下
6.备份备份备份
其实设置不多,楼主自己配置也花不了多少时间,还可以自我提高

服务器监控搞起来,做好日志采集,定期备份检查,关注Web安全动向,提高安全意识。
具体细节如果需要可以联系我,我给你一些规范文档

LZ就是典型的平时不烧香,临时抱佛脚,关键是还分不出哪只脚是佛的那种类型!


1. 我们安装的军哥一键lnmp,因为发现运维同事自己编译的环境,要么版本有问题对web程序支持不好,要么后来才发现都没有写disable_functions 的……,希望能把更多精力放在业务上
2. 几百G的文件,要好多钱,公司IT部不是赚钱部门,呵呵。不过接下来我就算顶着压力也要上云存储了
3. 都设置了,文件444,目录555,可写的附件目录755,应该是最小了
4. 这个用监控宝或自己iftop看的,可能不是很及时
5. 谢谢提醒,之前没注意


之前我们用过加速乐、确实看到每天帮阻断了很多扫描和攻击,但是因为机器在国外,加了CDN后,反而有时候百度蜘蛛会说无法连接你的网站(特别有时候晚上),运营部同学说会影响收录于是关闭了。现在已经重新加上了CDN,但事情已经发生了,黑客好像都已经拿到了更高权限了


唉……理解下IT部门是公司非赚钱部门的打工狗吧,不是所有公司都是BAT那么有钱和配备齐全……


您说的,部分做了,但没有做的这么全面。您应该对discuz了解很多吧。
可以联系我 24七9八4五191,请赐教,费用方面详谈,和boss讨论下,双方都觉得合适就行

谢谢您的热心,这些文件我有搜集过,但确实没有这么多精力,特别有时候人员变动,招聘运维很麻烦(我是偏产品的所谓部门主管,专业能力不强)

批评得是,虚心接受。

一个网站一个VPS
可以最大程度上避免跨站攻击

前端再布置个反向代理记录日志,妥妥的

安全临时做做不起来,
安全是长期投入而且看不见回报的感觉很透明,
但是不做,出了事又觉得安全很重要,
然而 亡羊补牢 为时以亡

为何不用官方rpm?即使有特别需求,也应该rebuild官方SRPM
加速乐报的那些扫描攻击之类的都是很弱智的随便乱扫的,参考安全卫士报的都是什么级别的漏洞,小白产品都一样
安全有多大用只有做安全的自己知道,无过即是大功

看到用的一键**,而且未使用密钥登录,知道我什么想法吗?攻破是迟早的事。

小白的话装个安全狗就把这问题解决了,有那么麻烦?

关注。个人建议楼主找一家专业的企业或者团队负责这个好一点,签个合同啥的;找个人的话,总觉得靠谱的可能性比较低。如果楼主找到了欢迎分享下
这方面确实是很大的问题,大家都不重视呢。平时没问题的时候boss认为是理所应当了,设置不愿意给运维发钱;出了问题想找人了,都已经成了烂摊子了,谁愿意去接手(并且估计给的钱还是不会多)。
找“只差一个安全运维方面程序猿”的,比那些找“只差一个创业程序猿”的,不懂还舍得花钱的小白只会更多。
大部分无脑boss还是只看表面,喜欢头疼医头脚疼医脚的那种,而不是防微杜渐从不出错的那种。悲哀。祝这些boss早日玩垮自己的站点 [最后一句好像有点毒,想想只送给那些罪大恶极的吧

Para.2 设置不愿意 -> 甚至不愿意
Para.3 不懂还舍得花钱的小白 -> 不懂还**不**舍得花钱的小白
唔,曾经被迫干过俩月类似运维的岗,电话24h不关机那种,后来果断走人了。拿着卖白菜的钱,操着卖白粉的心,开什么玩笑。
看到这个话题有点小激动,嗯嗯,冷静下。
后来那家好像网站搞成纯html还被挂了一堆黑链,嗯

数据地带为您的网站提供全球顶级IDC资源
在线咨询
专属客服