V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
my101du
V2EX  ›  服务器

有人愿意做付费的服务器安全维护吗?

  •  
  •   my101du · 2015-05-06 21:40:20 +08:00 · 3300 次点击
    这是一个创建于 3484 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司的网站(discuzX程序,权重较高,行业门户),放在linode上,这几天可能是被注入了木马,然后接着提权,先是删部分mysql数据表,接着直接删可写目录的文件,服务器的出入口流量也大幅增加,感觉像竞争对手蓄意的破坏。

    因为我们公司IT部门是花钱的部门,在运维和安全这块一直是短板,即使网站规模扩大也没有投入太多人员和精力去做。

    如果有愿意帮忙维护公司网站安全的牛人,我们提供付费服务。最好是品行端正没有其他要求(为什么提这个呢,不要误解,因为之前有黑客黑站以后找到我,说帮维护网站,但要求挂他的客户的链接)

    不熟悉安全行业,google好像也找不到类似的公司……可能这个行业的人都不愿意抛头露面吧
    19 条回复    2015-05-07 10:08:25 +08:00
    imnpc
        1
    imnpc  
       2015-05-06 21:50:57 +08:00   ❤️ 1
    我只能提点建议,做安全维护太累,钱少了也没人愿意做

    1.不要采用那些免费的一键安装环境,采用DA面板 CGI模式安装php 后台可以用自带的备份系统每天备份 同时每个站点都是严格的权限分离,DA国内大约350~400 永久授权.

    2.论坛附件采用FTP或者阿里云 又拍云 七牛云 这样的存放模式

    3.严格按照DZ官方要求 设置每一个目录权限

    4.安装流量统计系统 统计每日流量

    5.服务器采用密钥文件登录
    GeekTest
        2
    GeekTest  
       2015-05-06 21:53:07 +08:00
    出门左转,各家的CDN,不谢
    unixbeta
        3
    unixbeta  
       2015-05-06 21:59:34 +08:00 via iPhone
    php权限最重要

    可以联系我们
    willis
        4
    willis  
       2015-05-06 22:24:30 +08:00 via iPhone
    不介意是个人的话,可以联系我,六年运维
    FifiLyu
        5
    FifiLyu  
       2015-05-06 22:46:02 +08:00
    出问题了,才想起找专业运维。这是个坑啊!
    说白了,就是不重视。临时找,费用肯定不便宜,钱又少没人做。
    scys
        6
    scys  
       2015-05-06 22:52:46 +08:00
    感觉怎么说都别扭~可是又想说点啥。
    来个酱油吧:

    1. 和团队合作靠谱程度高;
    2. 个人合作,短中期都行,长期难度高;
    3. 觉得你说明的环境,很难解决实际问题,主要是不被重视。
    willis
        7
    willis  
       2015-05-06 22:55:47 +08:00 via iPhone
    补充下一楼的,说下我们生产中的配置
    1.nginx lua-waf 配合limit-req limit-conn防web攻击和cc
    2.严格限制目录权限,关掉不必要的php函数和扩展,设置好open based dir防跨目录
    3.系统内核打好䃼丁,把nginx php-fpm用chroot降权运行,设置最小权限
    4.任何密码都不要用弱口今,用iptables 限制好进出的流量
    5.dz不安全多数是插件的问题,配置可以按照官方文档检查下
    6.备份备份备份
    其实设置不多,楼主自己配置也花不了多少时间,还可以自我提高
    Phant0m
        8
    Phant0m  
       2015-05-06 22:56:50 +08:00 via Android
    服务器监控搞起来,做好日志采集,定期备份检查,关注Web安全动向,提高安全意识。
    具体细节如果需要可以联系我,我给你一些规范文档
    tangooricha
        9
    tangooricha  
       2015-05-06 23:15:42 +08:00   ❤️ 1
    LZ就是典型的平时不烧香,临时抱佛脚,关键是还分不出哪只脚是佛的那种类型!
    my101du
        10
    my101du  
    OP
       2015-05-06 23:31:27 +08:00
    @imnpc
    1. 我们安装的军哥一键lnmp,因为发现运维同事自己编译的环境,要么版本有问题对web程序支持不好,要么后来才发现都没有写disable_functions 的……,希望能把更多精力放在业务上
    2. 几百G的文件,要好多钱,公司IT部不是赚钱部门,呵呵。不过接下来我就算顶着压力也要上云存储了
    3. 都设置了,文件444,目录555,可写的附件目录755,应该是最小了
    4. 这个用监控宝或自己iftop看的,可能不是很及时
    5. 谢谢提醒,之前没注意


    @GeekTest
    之前我们用过加速乐、确实看到每天帮阻断了很多扫描和攻击,但是因为机器在国外,加了CDN后,反而有时候百度蜘蛛会说无法连接你的网站(特别有时候晚上),运营部同学说会影响收录于是关闭了。现在已经重新加上了CDN,但事情已经发生了,黑客好像都已经拿到了更高权限了


    @FifiLyu
    唉……理解下IT部门是公司非赚钱部门的打工狗吧,不是所有公司都是BAT那么有钱和配备齐全……


    @willis
    您说的,部分做了,但没有做的这么全面。您应该对discuz了解很多吧。
    可以联系我 24七9八4五191,请赐教,费用方面详谈,和boss讨论下,双方都觉得合适就行

    @Phant0m
    谢谢您的热心,这些文件我有搜集过,但确实没有这么多精力,特别有时候人员变动,招聘运维很麻烦(我是偏产品的所谓部门主管,专业能力不强)
    my101du
        11
    my101du  
    OP
       2015-05-06 23:32:08 +08:00
    @tangooricha 批评得是,虚心接受。
    Showfom
        12
    Showfom  
       2015-05-07 04:05:34 +08:00 via iPhone   ❤️ 1
    一个网站一个VPS
    可以最大程度上避免跨站攻击
    Septembers
        13
    Septembers  
       2015-05-07 05:19:27 +08:00 via Android
    @Showfom 前端再布置个反向代理记录日志,妥妥的
    Septembers
        14
    Septembers  
       2015-05-07 05:23:50 +08:00 via Android
    安全临时做做不起来,
    安全是长期投入而且看不见回报的感觉很透明,
    但是不做,出了事又觉得安全很重要,
    然而 亡羊补牢 为时以亡
    ryd994
        15
    ryd994  
       2015-05-07 05:41:20 +08:00   ❤️ 1
    @my101du 为何不用官方rpm?即使有特别需求,也应该rebuild官方SRPM
    加速乐报的那些扫描攻击之类的都是很弱智的随便乱扫的,参考安全卫士报的都是什么级别的漏洞,小白产品都一样
    安全有多大用只有做安全的自己知道,无过即是大功
    sphawkcn
        16
    sphawkcn  
       2015-05-07 09:40:41 +08:00
    @my101du 看到用的一键**,而且未使用密钥登录,知道我什么想法吗?攻破是迟早的事。
    can
        17
    can  
       2015-05-07 10:03:04 +08:00
    小白的话装个安全狗就把这问题解决了,有那么麻烦?
    mcone
        18
    mcone  
       2015-05-07 10:05:35 +08:00
    关注。个人建议楼主找一家专业的企业或者团队负责这个好一点,签个合同啥的;找个人的话,总觉得靠谱的可能性比较低。如果楼主找到了欢迎分享下

    这方面确实是很大的问题,大家都不重视呢。平时没问题的时候boss认为是理所应当了,设置不愿意给运维发钱;出了问题想找人了,都已经成了烂摊子了,谁愿意去接手(并且估计给的钱还是不会多)。

    找“只差一个安全运维方面程序猿”的,比那些找“只差一个创业程序猿”的,不懂还舍得花钱的小白只会更多。

    大部分无脑boss还是只看表面,喜欢头疼医头脚疼医脚的那种,而不是防微杜渐从不出错的那种。悲哀。祝这些boss早日玩垮自己的站点 [最后一句好像有点毒,想想只送给那些罪大恶极的吧
    mcone
        19
    mcone  
       2015-05-07 10:08:25 +08:00
    Para.2 设置不愿意 -> 甚至不愿意
    Para.3 不懂还舍得花钱的小白 -> 不懂还**不**舍得花钱的小白

    唔,曾经被迫干过俩月类似运维的岗,电话24h不关机那种,后来果断走人了。拿着卖白菜的钱,操着卖白粉的心,开什么玩笑。

    看到这个话题有点小激动,嗯嗯,冷静下。

    后来那家好像网站搞成纯html还被挂了一堆黑链,嗯
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5400 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 08:32 · PVG 16:32 · LAX 00:32 · JFK 03:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.