防止美国黑客攻击的建议
广东天海威数码技术有限公司 蓝盾安全小组　2001-05-02 16:58:40

　　
　　中美撞机事件发生后，美国政府的反应，引起了大部分中国人的愤怒。而由此引发了一场时间比较长的中美“战争”— 中美黑客大战。这段时间内，尤其在劳动节青年节前后一周时间是最关键的时刻。
　　而这段时间正当很多单位放假期间，为了网站安全，如何抵御美国黑客的攻击呢？以下有几个防御重点希望大家注意：
　　一、 网站的操作系统安全问题
　　网络管理员应熟悉所使用的操作系统平台，而且更应该了解该平台有哪些缺陷（如注册表可匿名访问，CRASH能使系统当机等等），并应及时打上漏洞的补丁。
　　建议：
　　到操作系统安全公告网站下载补丁。
　　如：微软的补丁下载位置：http://www.microsoft.com/Downloads/，在它的页面搜索你想要的补丁。
　　二、 网管用户名跟密码尽可能复杂和经常修改
　　用户名跟密码应当设置合理，简单的使用用户名与密码相同或者密码过于简单，都使网站被侵入的可能增加。
　　建议：
　　密码应当是用95个ASCII码随机组合的长密码。另外，经常修改密码，是网管的好习惯。
　　三、 关闭不必要的服务端口。
　　尽可能关闭不需要的服务端口，减少被入侵的可能，并且检查该服务所在目录的使用权限是否正确。
　　常用服务端口有：
　　WEB：80 SMTP：25 POP3：110
　　比较危险（很可能存在系统漏洞）的服务端口：
　　 TELNET：23 FINGER：79
　　 R*系列：远程调用的端口（如RUSERS等等）
　　建议：
　　对有关必要打开的服务进行安全检查，关闭没必要的服务端口，如果SQL服务在本地使用，在对外服务设备上，禁止使用对外服务。
　　四、 FTP匿名登录问题
　　FTP匿名登录存在很多漏洞，如Microsoft FTP就有匿名登录漏洞，不过现在已经有了安全补丁。下载网址：http://www.microsoft.com/Downloads/。WU-FTP的一些版本也存在目录可写的权限漏洞，可以到WU-FTP的技术支持站点下载补丁。还有些网站培植FTP服务器的时候，还存在有匿名登录可以往脚本目录写文件的权限，这样就更加危险。
　　建议：
　　 对匿名登录控制的权限要严格审核，如果没必要使用匿名登录，关闭匿名登录。定时检查服务器日志。
　　五、 WEB服务的安全要注意
　　WEB编程人员编写的CGI、ASP、PHP等程序存在的问题，会暴露系统结构或服务目录可读写，黑客入侵的发挥空间就更大。在给WEB服务上传前，要脚本安全检查，如源程序或脚本是否可下载，是否源程序访问的权限过大等。还有IIS5.0跟IIS4.0(SP6)的WEB服务有unicode编码安全漏洞。相关安全补丁在http://www.microsoft.com/Downloads/有。

　　建议：
　　到有关安全网站下载安全检查扫描工具。
　　如蓝盾安全实验室：www.bluedon.com
　　20CN网络安全小组http://www.20cn.net/
　　 安全焦点 http://www.xfocus.org/ 等等。
　　六、 警惕DoS攻击和DDoS攻击。
　　DoS攻击和DDoS攻击可以使网站系统失去与互联网通信的能力，甚至于系统崩溃。国内大部分服务器都存在这个问题。
　　建议：
　　如果有条件允许的话，可以使用具有DoS和DdoS防护的防火墙，如蓝盾防火墙等。