VPS服务器有没有漏洞？网站有没有漏洞？被攻击了我该怎么办

360°网站安全加固 今天就和大家科普一下 ，VPS服务器有没有漏洞？网站有没有漏洞？被攻击了我该怎么办

其实不存在没漏洞的系统，漏洞就在那，黑客只是发现了他而已。就跟万有引力一样，不能说牛顿没发现就不存在万有引力。软件升级带来了修补旧漏洞的利好消息，同时也带来了新的未知漏洞的风险

备注：你可以尝试用thinkphp漏洞、nginx漏洞、php漏洞、redis漏洞、dedecms漏洞、discuz漏洞等等为关键词进行搜索，漏洞有几个生命周期：潜伏期、发现期、利用期、公开期、修复期、die。有些组织手握很多未公开的漏洞信息，没公开罢了

若是开源软件，会存在找漏洞和修漏洞的人之间的博弈过程（N对N）。但若是闭源软件，则是找漏洞的人和官方开发人员之间的博弈过程（N对1），官方发现漏洞会比较晚。闭源软件漏洞的生命周期会长于开源软件，所以我更倾向于使用还在维护中的开源软件

一：介绍
攻击和防御的界限很模糊，攻击端必须知道防御端是什么样才能攻其不备，防御端必须知道攻击端有什么武器才能构建防御，而这两者要了解的技术是一样的。就跟刀具一样，在不同人的手里有不一样的属性。但现实是，绝大部分程序员对于这方面的知识储备远远低于专业攻防人员，所以你就懂了

漏洞的发生无非就是用户端传来的数据检查不严格，权限检查不严格，导致错误执行了黑客有意构造的非法代码

我们暂且不提系统级别或者软件级别漏洞，即使有也只能等官方发现并修复。对于未知的网站源码级别的漏洞，我们站长能做的只能在防火墙、权限配置方面做文章，下面教大家简单设置：

二：防火墙配置

防火墙可以对网站传输的非法数据进行识别，可以抵御常见的SQL注入、一句话木马、上传漏洞、cookies漏洞等等。如果大家不会配置部署 防火墙，可以联系 360°网站安全加固

三、权限配置

上面的配置已经可以抵御九成半的漏洞攻击，包括几乎所有的脚本批量普通漏洞扫描。因为这个防御的只是规则性漏洞，对于变种或伪装性极强的无法防御

也就是说仍然会有半成的漏洞攻击被放进来了，这时候就需要进行权限配置了，原理就是，即使黑客通过网站漏洞上传了木马，若是没有关键执行权限，仍然什么也干不了

备注：很多人为图方便将网站所有目录设置成777，即所有用户有全部权限，这是非常危险的。还好宝塔已经将网站目录所属人设置为www用户，权限为755，但这仍然不够

下面的操作步骤顺序之间有依赖性，必须严格按照下面的顺序进行（以下全部使用宝塔页面操作。若使用chmod命令行操作，必须加-R参数）：
1、对于网站公开目录使用555权限，例如public目录。这个操作也会同时应用到所有子目录和子文件
2、对于网站上传目录使用755权限，例如upload文件夹
3、对于网站上传目录中的所有文件使用644权限，例如通过网站上传的图片。因为图片随时都会上传，所以要时时进行设置，需要用到宝塔的计划任务，设置以每分钟运行的任务chmod 644 /www/wwwroot/xxx.com/public/upload/*/*。把xxx.com换成你的网站目录，这里的*代表所有文件，因为有的网站程序上传图片时并不是上传到单独一个文件夹，而是以每月命名的文件夹，所以倒数第二个*代表upload里所有的文件夹
4、还需要使用Nginx、Apache禁止上传目录的php执行权限

权限操作说明：
555：所有用户都没有写入权限
755：只有文件所属用户有写入权限
644：所有用户都没有执行权限

四：总结
1、以上方法只能防御网站源码漏洞，如果被系统漏洞或者软件级别漏洞攻击，你不是孤单的一个人，这将是全球性的灾难漏洞，耐心等待官方发布补丁包下载安装即可
2、这里有个简单判断网站是否被上传木马的方法：，一般我们上传完网站源码后不会再修改网站内容，如果发现某个文件夹修改时间和同目录文件夹明显不一样（缓存目录除外），就要小心了
3、所有网站使用同一个密码，并且几年都不换，这个会导致公开的社工库中已有你的账户和密码
4、机器使用默认的ssh的22端口，同时账号为root，并且密码为常用密码或弱密码，会导致你的机器被用来挖矿或用作肉鸡
5、使用默认网站后台登录目录，并且密码为常用密码或弱密码，后台会被人爆破密码。验证码只能防人，不能防机器
6、做站使用windows系统，由于没有linux天生完善的文件权限控制机制，被攻击成功概率远远高于linux系统