隨便聊聊鄙公司服務器的安全設置!

时间 2019-11-05

原文原文链接

笔者长期以来一直作得工做基本上就是开发公司的PHP程序,另外维护几台CentOS服务器,在长时间的工做中总结了一套对付攻击的小手段,不敢藏私,分享给你们,但愿你们喜欢!php

首先说一下服务器那边的设定情况好了,服务器在公司内部,一条光纤直接接入,有7个固定IP,每一台服务器均有本身的固定IP,另外每一台服務器均為雙網卡,除了有一個外網固定IP外還同屬於一個內網,这7个固定IP是经过一台带有路由功能的硬件防火墙进行分发的.硬件防火墙只对外开放了80端口,其他的所有都关掉了.而服务器则基本上都是CentOs,只有一台是windows.CentOs所有开了Linux系统自带的防火墙,远程管理的时候经过某种特殊手段链接到这个服务器所在的局域网的某台windows操做系统的服务器上,而后再经过这台windows上安装的SSH便可操控每一台服务器了,虽然这么设定很是麻烦,但却很安全.(这里补充说一下,每台服务器的防火墙均设定了容许某个内網IP才可SSH單向连线的规则,这设定就比较繁琐了,小孩子没有娘提及来话很长,既然很长我就不说了.)linux

既然如此你们或许会问,只开了一个80还有什么好攻击的呢?其实否则,首先有某公司经常会用webbench压力测试工具来试图瘫痪nginx,没办法由于这套程序以前就是他们开发的,他们知道这套程序运行的时候极其消耗CPU资源.其次有众多来自内地网友们猜想这套程序的潜在漏洞,例如猜想管理员后台入口,猜想是否有网站备份的压缩文件放在服务器上等等,他们的这些访问方式所有都是针对80端口来的,若是不采起某些措施的话Nginx会经常瘫痪掉,致使网站出现错误500或错误502,而那些猜想的害处我就更不用多说了,对于以上诸多不友好的来访者笔者只好作一些扼杀手段了.nginx

其实作法提及来也并不复杂,首先我会用php取得来访者的访问意图,若是对方的意图有鬼或不轨知足了个人封杀条件,那么就干掉他吧!首先用PHP自动创建.sh这样一个文件,这个文件的的内容就是用来改写linux的防火墙规则(固然了我也能够改写硬件防火墙的规则,不过太麻烦了,仍是偷个懒吧!),修改这个.sh文件的属性和全部者让其能够被执行,而后用linux的crontab来取得并执行这个.sh把封杀规则写入防火墙,同时给笔者发一封Email告知我某个倒霉蛋已经被封杀了便可.web

下边是个人作法:windows

<?PHP
#	自動封鎖IP QQ群:223494678
#	用法:
#		1.首先把下方的PHP代碼放入被全局require的配置檔內.
#		2.用SSH執行:cat /etc/crontab
#		3.加入下邊兩行:
#			#auto lock webbench
#			*/1 * * * * root /home/wwwroot/bossAdm_Web/webbench.sh;
#		4.重啟crontab的服務:service crontab restart

//封鎖任何來源的WebBench
IF(isSet($_SERVER['HTTP_USER_AGENT']) And Trim($_SERVER['HTTP_USER_AGENT'])!='') {
	$_SERVER['HTTP_USER_AGENT']=StrToLower($_SERVER['HTTP_USER_AGENT']);
	IF(StriStr($_SERVER['HTTP_USER_AGENT'],'webbench')!==False And (isSet($_SERVER['REMOTE_ADDR']) And Trim($_SERVER['REMOTE_ADDR'])!='')) {
		DoLock($_SERVER['REMOTE_ADDR']);
		Die();
	}
}

//封鎖敏感Url,針對猜測以下url的ip直接封殺 QQ群:223494678
//這段代碼最好是加入到404.php內,這樣效果更大(须要从新配置一下httpd.conf,讓404錯誤頁指向到該404.php) QQ群:223494678
IF(isSet($_SERVER['REQUEST_URI']) And Trim($_SERVER['REQUEST_URI'])!='') {
	IF(StriStr($_SERVER['REQUEST_URI'],'/admin')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/sign')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/reg')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/tiki-')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/join')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/config')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/backup')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/www')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/manage')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/password')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/install')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/phpmyadmin')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/webadmin')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/inc')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/user')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/upload')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/setup')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/sys')!==False
		Or StriStr($_SERVER['REQUEST_URI'],'/cert')!==False
	){
		DoLock($_SERVER['REMOTE_ADDR']);
		Die();
	}
}

//创建sh檔,用途是封鎖ip,該sh檔會被排程以root身份執行. QQ群:223494678
Function DoLock($x){
	$p='/home/wwwroot/bossAdm_Web/webbench.sh';
	File_Put_Contents($p,"#! /bin/bash\n iptables -I INPUT -s {$x} -j DROP;\n echo \"{$x} - `date`\" | mail -s \"WebBench\" see7di@gmail.com;\n cat /dev/null > {$p}",LOCK_EX);
	Chmod($p,0755);
	chown($p,'www');
	unSet($p,$x);
}

發問之後有網友問我"远程管理的时候经过某种特殊手段链接到这个服务器所在的局域网的某台windows操做系统的服务器上"這句話中的特殊手段到底是什麽手段,好吧我就簡單的說一下好了,說多了我怕砸了本身的碗.首先我會登錄進入公司網站的後臺管理,然後發送一個開放3389的請求,發送之後退出後臺便可,linux服務器接收到請求(只是一個ini文件而已)之後會把這個文件通過samb通過內部局域網丟到windows服務器上,那台windows服務器上有我開發的一個監控端,用來隨時掃描是否有請求,若是有的話這個監控端就會修改硬件防火牆的設定,把3389的映射端口(65525內的某個端口映射到這台windows上的3389)開放一下,此時我就能够用3389方式連線到這台服務器了(從請求發送到開放3389大約只须要1分鐘的時間),只不過要注意的是:要改一下gpedit的設定,讓其在3389連線完畢之後自動创建一個關閉3389的請求,這樣剩下的事就交給那個監控程序來幫我關閉3389的映射端口就好了.安全

以上,如需交流PHP的朋友能够加个人QQ群:223494678 相信只有交流才能成长!至少我是这么认为的.:)bash