IIS网站被攻击了,我想了一个办法,不知道是不是安全?
今天我们公司的IIS被攻击了,我才想到要做一些安全的工作
我们公司网站配置是这样的ASP+IIS+后台WEB编辑器(EWEBEDITOR)
公司网址是http://www.xxx.com
公司后台地址是http://www.xxx.com/admin
数据库是access
因为后台要网站要写数据,所有就把访问网站用户的权限设为能读能写的权限,
后来被攻击了,我感觉能是两个方面的原因
1.权限设的太大了
2.用EWEBEDITOR可能会有后门,
后来,我做了以下个修改
1.将网站目录设为只能读的权限
2.将EWEBEDITOR去掉,将网站只读取数据库
3.为后台新一个网站,http://www.xxx.com:8000/admin,通过这个网站去维护主网站的新闻内容
这样就不会影响主网站
目前来看,没有什么问题,和各位讨论一下,有没有更好的方法提高网站的安全性?
[解决办法]
攻击不一定针对你网站的,同服务器其他站点、系统漏洞和ftp都能作为入口
http://www.xxx.com:8000/admin
与其改端口不如改个域名,端口是可以扫描出来的
你想进行访问后台的机器改hosts文件访问网站,这样入口只有你知道,攻击者即使反查域名也不知道
