不要在网站根目录放网站程序压缩包
为什么说不要在网站根目录放网站程序的压缩包呢?看看下面这段IIS日志。即使我们把服务器的安全设置做得非常非常好,在WEB程序安全方面花了非常大量的时间,但为什么还是会出现很多安全问题呢?我们在备份网站数据时,经常会把整个网站压缩成一个压缩包,而这个压缩包很有可能叫1.rar,也可能叫www.rar或web.rar,也有可能叫splaybow.com.rar。为什么会起这些名字,大家应该心里有数。但是,有了下面这些日志记录做为实例,我们以后再也不要这样干了。
2013-07-25 19:47:53 HEAD /1.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 31
2013-07-25 19:47:53 HEAD /1.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 31
2013-07-25 19:47:53 HEAD /2.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 31
2013-07-25 19:47:53 HEAD /2.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 46
2013-07-25 19:47:53 HEAD /3.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 46
2013-07-25 19:47:53 HEAD /3.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 46
2013-07-25 19:47:53 HEAD /wwwroot.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 343
2013-07-25 19:47:55 HEAD /wwwroot.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 125
2013-07-25 19:47:55 HEAD /HYTop.mdb - 80 - 59.36.114.19 Mozilla/4.0+ 404 7 0 31
2013-07-25 19:47:55 HEAD /www.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 31
2013-07-25 19:47:55 HEAD /www.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 31
2013-07-25 19:47:55 HEAD /web.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 46
2013-07-25 19:47:55 HEAD /web.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 46
2013-07-25 19:47:55 HEAD /www.splaybow.com.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 31
2013-07-25 19:47:55 HEAD /www.splaybow.com.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 46
2013-07-25 19:47:55 HEAD /wwwsplaybowcom.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 343
2013-07-25 19:47:55 HEAD /wwwsplaybowcom.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 218
2013-07-25 19:47:55 HEAD /splaybow.com.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 31
2013-07-25 19:47:55 HEAD /splaybow.com.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 31
2013-07-25 19:47:56 HEAD /splaybow.rar - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 343
2013-07-25 19:47:56 HEAD /splaybow.zip - 80 - 59.36.114.19 Mozilla/4.0+ 404 0 2 31
真是怕怕呀,洪哥反正是再也不敢了!