我管理的網站已經遭受了一次重大和一次輕微的破壞,因此我正在仔細研究提高安全性的方法。我們一直在使用FTP...
每個人似乎都同意為了安全起見必須取代 FTP,而 SFTP 似乎是替代品。但我們的共享託管計劃僅提供一個 SFTP 帳戶,而我們的主要替代供應商也僅提供一個。
我想這正是人們無法負擔比共享託管更好的費用的原因。而且因為 SFTP 是基於 SSH 的,所以不需要讓許多不同的人透過 SSH 來處理網站。
問題 1:是否有任何主要託管供應商以具有競爭力的價格在共享託管計劃中提供多個安全帳戶?
問題 2:沒有明智的方法讓兩三個人共享一個 SFTP 帳戶,這種說法對嗎?換句話說,有人最終會不可避免地使用完全不安全的 FTP 連線嗎?
Q3:該怎麼辦?歡迎提出建議!
Q4:我是否遺漏了任何非常明顯的東西?
不,儘管我們付出了很多努力,但我們始終無法確定違規原因。我列出了盡可能多的預防措施清單和需要彌補的漏洞,並盡了最大努力。 FTP 是我仍在嘗試關閉的主要工具之一。
簡而言之:第一次違規後,我們更新到了我們使用的 CMS (phpFusion) 的最新版本,並將網站的大部分內容移至子網域。 (這樣做有一個很好的理由,但這裡不相關。)這在基域中只留下了一個簡單的問候語——切換包含指向子網域中 CMS 實例的靜態連結的 html 頁面。第二次洩漏在該文件中插入了許多隱藏連結。據我所知,基本域中基本上沒有什麼可以破解的,因此被劫持的 FTP 似乎是最有可能的存取方式。 FTP 密碼相當可靠,因此暴力破解似乎不太可能。
順便說一句,技術支援對我們的事件報告沒有反應,而且供應商不提供 FTP 存取日誌,該日誌可以確認或排除有人嗅探 FTP 憑證。
--
我們只有兩個人具有站點根訪問權限。我們是公共利益網站的同事,因此都非常積極地保護網站。我擔心我的同事技術不太好,也沒有太多錢來保護他的電腦,所以他可能使用了鍵盤記錄器。
我們只有兩個人具有站點根訪問權限。我們是公共利益網站的同事,因此都非常積極地保護網站。我擔心我的同事技術不太好,也沒有太多錢來保護他的電腦,所以他買了一個鍵盤記錄器給我。
答案1
是否首先確定了違規的根本原因,並確定其是由於登入遭到破壞(這可能表明也可能不是 ftp 會話被劫持的跡象)造成的?用 sftp 取代 ftp 肯定更安全,但它是否真的解決了您過去的違規行為(以防止您成為同一漏洞的重複受害者 - 這應該是首要任務)?
答案2
FTP 資料(包括登入憑證)以純文字形式傳輸,這就是它如此不安全的原因。您肯定想開始養成使用 SFTP 的習慣,因為那時您的資料將被加密。
問題 1:是否有任何主要託管供應商以具有競爭力的價格在共享託管計劃中提供多個安全帳戶?
A1:Media Temple 提供了一種在其「共享」託管計劃中創建多個可訪問 SSH/SFTP 的用戶的方法 - 他們稱之為網格。 http://mediatemple.net
問題 2:沒有明智的方法讓兩三個人共享一個 SFTP 帳戶,這種說法對嗎?換句話說,有人最終會不可避免地使用完全不安全的 FTP 連線嗎?
A2: 這取決於你想要什麼。如果只有兩三個人一起工作 - 那麼共享帳戶確實沒有太多理由會成為問題。順便說一句,根據您與誰一起工作以及您對這些人的信任級別,您確實希望您共享的 ssh/sftp 帳戶不是 root/管理用戶。
Q3:該怎麼辦?歡迎提出建議!
A3:如果您信任您的同事,那麼您沒有理由不能共用單一 ssh/sftp 帳戶。我確實建議您完全停用 FTP(如果可以)或至少停用該使用者的 FTP。由於您的網站已被盜用,請確保更改所有密碼。所有這些:mysql、apache、root 以及任何其他使用者或帳戶。
Q4:我是否遺漏了任何非常明顯的東西?
A4:提防 sql 注入、舊版軟體:apache、phpmyadmin、mysql - 保持這些內容最新,並始終使用 SFTP 或 SSH 遠端連接到您的主機。根據您的工作方式,盡可能頻繁地更改所有系統的密碼;資料庫使用者、root、ssh 帳號...等。
答案3
如果您使用共享主機,您通常需要為該網域的網路空間付費,因此您將獲得 SSH 帳戶,該帳戶可讓您登入該資料夾。 SFTP 只是使用該帳戶登錄,帳戶數量的限制很可能是有多少個用戶名,而不是有多少個並發連線。
如果您有多個域名,您可能會獲得多個帳戶。如果不這樣做,為什麼您需要多個帳戶?另外,請參閱用戶48838的帖子,他是對的,如果你有一扇開著的窗戶,就不用費心在門上釘一塊木板了。