我pipe理的网站已经遭受了一次重大和一次轻微的违规,所以我正在密切关注提高安全性的方法。 我们一直在使用FTP …
大家似乎都认为,为了安全起见,FTP必须被replace,而SFTP似乎是替代品。 但是我们的共享托pipe计划只提供一个SFTP账户,而我们的主要替代供应商只有一个。
我想这就是人们无法承受比共享托pipe更好的东西。 但也是因为SFTP是基于SSH的,并且不需要有大量不同的人通过SSH来分散站点。
Q1:是否有任何主要的托pipe供应商在共享托pipe计划中以竞争价格提供多个安全帐户?
Q2:在两三个人之间共享一个SFTP账户没有明智的做法是正确的吗? 换句话说,有人会不可避免地使用完全不安全的FTP连接?
Q3:该怎么办? build议欢迎!
问题4:我错过了什么难以置信的明显?
不,我们无法确定违规的原因,尽pipe付出了很多努力。 我find了许多预防措施的列表,并且尽力而为。 FTP是我仍然试图closures的一个主要的一个。
简而言之:在第一次违规之后,我们更新了我们使用的最新版本的CMS(phpFusion),并将大部分网站移到了子域名中。 (这里有一个很好的理由,在这里没有关系。)在基本域中只剩下一个简单的问候切换html页面,其中包含到子域中CMS实例的静态链接。 第二个漏洞在该文件中插入了很多隐藏的链接。 据我所知,在基本域中基本上没有什么可攻击的东西,所以劫持FTP似乎是最可能的访问方式。 FTP密码相当健壮,所以暴力似乎不太可能。
顺便说一句,技术支持对我们的事件报告没有反应,供应商不提供FTP访问日志,可以确认或排除有人嗅探FTP凭据。
–
我们只有两个人有网站的根访问权限。 我们是一个公益网站的同事,所以都非常有动力保证网站的安全。 我担心我的同事技术不太好,没有太多的时间来保护他的电脑,所以他可能会拿起一个键盘logging器。
我们只有两个人有网站的根访问权限。 我们是一个公益网站的同事,所以都非常有动力保证网站的安全。 我担心我的同事技术不太好,也没有太多的时间来保护他的个人电脑,所以他拿起了一个键盘logging器。
是否首先确定了违规的根本原因,并确定是login受损的结果(可能是也可能不是被劫持的ftp会话的指示)? 用sftpreplaceftp肯定是更安全的,但是它是否真的解决了你以前的漏洞(使你不再是同一个漏洞的重复受害者 – 应该是第一优先级)?
FTP数据(包括login凭证)以纯文本传输,这就是为什么它是如此不安全。 你一定要开始养成使用SFTP的习惯,因为你的数据会被encryption。
Q1:是否有任何主要的托pipe供应商在共享托pipe计划中以竞争价格提供多个安全帐户?
A1:Media Temple提供了一种方法来创build多个用户在其“共享”托pipe计划中访问SSH / SFTP – 他们称之为网格。 http://mediatemple.net
Q2:在两三个人之间共享一个SFTP账户没有明智的做法是正确的吗? 换句话说,有人会不可避免地使用完全不安全的FTP连接?
A2:这取决于你想要什么。 如果你们中只有两三个人在一起工作 – 那么共享一个账户真的没有太大的理由。 在附注中,根据您正在使用的用户以及您对这些人的信任级别,您确实希望您所共享的ssh / sftp帐户不是根/pipe理用户。
Q3:该怎么办? build议欢迎!
A3:如果你信任你的同事,你没有理由不能共享一个ssh / sftp帐户。 我build议您完全禁用FTP,如果可以的话,或者至less禁用该用户的FTP。 由于您的网站已被盗用,请确保您的所有密码都已更改。 他们都是:mysql,apache,root和其他任何用户或帐户。
问题4:我错过了什么难以置信的明显?
A4:注意sql注入,旧版本的软件:apache,phpmyadmin,mysql – 保持这些东西是最新的,并始终使用SFTP或SSH远程连接到您的主机。 对于所有系统的工作方式,尽可能频繁地更改密码; 数据库用户,root,ssh账户等。
如果您使用的是共享主机,则通常需要为该域的网站空间付费,因此您将获得一个将您login到该文件夹的SSH帐户。 SFTP只是使用该帐户login,并且限制多less帐户最有可能有多less用户名 – 而不是多less并发连接。
如果您有多个域名,则可能会获得多个帐户。 如果你不这样做,为什么你需要多个帐户? 另外,看到user48838的post,他是对的,如果你有一个开放的窗口,不要打扰对面的木板。