今天唠唠怎么在自家服务器上搞个安全的下载站点。这事儿是前几天被坑出来的经验——有个傻逼文件看着像PDF，一点开就把我服务器搞崩了。

踩坑起手式

那天闲得蛋疼，寻思给工作室弄个共享下载站。直接开IIS戳了个新网站，绑定域名的时候还美滋滋想：「这下传游戏补丁可方便了」。结果第二天就遭报应了：有个孙子传了个伪装成攻略的病毒包，点下载按钮直接触发exe自启动。

• 第一步：抡起鼠标删病毒。抱着主机箱冲进同事工位吼：「你丫下载不看后缀名？」
• 第二步：蹲机房查日志。发现这鳖孙文件半夜三点被传上来，文件名还伪装成「年度结算表.zip」。

上硬菜防守

抄起键盘搜了仨钟头方案，锁死这三板斧：

• 给下载站戴镣铐：在IIS管理器里找到「请求筛选」，直接把.exe/.bat/.cmd后缀拉黑名单。有个细节坑：得在「文件」标签页和「拒绝文件扩展名」两边同时加锁（这反人类设计害我多重启两次服务器）
• 给压缩包上刑具：所有上传的压缩文件强制走扫描。用系统自带的WD工具写了个自动杀毒脚本，扔到服务器定时任务里每半小时扫一次下载目录
• 把用户当贼防：在IIS里把「目录浏览」功能锤死——这玩意儿默认开着，黑客能直接翻文件夹偷文件

亡羊补牢实录

刚改完设置就有憨憨同事撞枪口：下午传了个带vbs脚本的压缩包。打开下载页面直接爆403错误，后台警报邮件同时哐哐砸我邮箱里。截图甩工作群的时候那小子还嘴硬：「我就想放个自动填表工具...」

现在蹲服务器前啃苹果看监控：新增文件数0，错误日志干净得像狗舔过的碗。顺手把微信工作群公告改成「再传可执行文件自觉交200块奶茶基金」。

暴论：别信什么「智能查毒防火墙」，最土的办法往往最保命。现在连我家的猫跳键盘上都搞不出病毒了（实验证明猫爪按回车不会触发文件上传）。