您好,欢迎来到思海网络,我们将竭诚为您提供优质的服务! 诚征网络推广 | 网站备案 | 帮助中心 | 软件下载 | 购买流程 | 付款方式 | 联系我们 [ 会员登录/注册 ]
促销推广
客服中心
业务咨询
有事点击这里…  531199185
有事点击这里…  61352289
点击这里给我发消息  81721488
有事点击这里…  376585780
有事点击这里…  872642803
有事点击这里…  459248018
有事点击这里…  61352288
有事点击这里…  380791050
技术支持
有事点击这里…  714236853
有事点击这里…  719304487
有事点击这里…  1208894568
有事点击这里…  61352289
在线客服
有事点击这里…  531199185
有事点击这里…  61352288
有事点击这里…  983054746
有事点击这里…  893984210
当前位置:首页 >> 技术文章 >> 文章浏览
技术文章

Linux nginx php木马排查及加固整理

添加时间:2015-2-14 2:48:35  添加: 思海网络 

1、改变目录和文件属性,禁止写入

 find -type f -name \*.php -exec chmod 444 {} \;
 find -type d -exec chmod 555 {} \; 
 注:当然要排除上传目录、缓存目录等;
 同时最好禁止chmod函数,攻击者可通过chmod来修改文件只读属性再修改文件
2、php配置
 禁用危险函数
 passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
 ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,popen,dl,
 syslog,show_source

3、nginx配置
 限制一些目录执行php文件
  location~^/images/.*\.(php|php5)$
  {
  denyall;
  }
   
  location~^/static/.*\.(php|php5)$
  {
  denyall;
  }

  location~*^/data/(attachment|avatar)/.*\.(php|php5)$
  {
  denyall;
  }
  注:这些目录的限制必须写在
   location~.*\.(php|php5)$
    {
     fastcgi_pass127.0.0.1:9000;
     fastcgi_indexindex.php;
     include fcgi.conf;
    }
   的前面,否则限制不生效


 path_info漏洞修正:
  在通用fcgi.conf顶部加入
  if ($request_filename ~* (.*)\.php) {
  set $php_url $1;
  }
  if (!-e $php_url.php) {
  return 404;
  }

4、木马查找

  php木马一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>

  find /data/wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /root/scan.txt 
  
  还有
   常见的一句话后门:
   grep -r --include=*.php  '[^a-z]eval($_POST' . > grep.txt
   grep -r --include=*.php  'file_put_contents(.*$_POST\[.*\]);' . > grep.txt
   
   把搜索结果写入文件,下载下来慢慢分析,其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找,上传图片肯定有也捆绑的,来次大清洗。
5、查找近3天被修改过的文件:
 find /data/www -mtime -3 -type f -name \*.php
  注意:攻击者可能会通过touch函数来修改文件时间属性来避过这种查找,所以touch必须禁止

关键字:Linux、目录、木马

分享到:

顶部 】 【 关闭
版权所有:佛山思海电脑网络有限公司 ©1998-2024 All Rights Reserved.
联系电话:(0757)22630313、22633833
中华人民共和国增值电信业务经营许可证: 粤B1.B2-20030321 备案号:粤B2-20030321-1
网站公安备案编号:44060602000007 交互式栏目专项备案编号:200303DD003  
察察 工商 网安 举报有奖  警警  手机打开网站