Linux安全之PHP木马查杀与防范

接上篇文章,网站平凡被黑,好在有做每日备份没有什么大的损失,但是这也在警告我们,服务器安全是一件非常重要的事情,虽说Linux非常安全,但是一个小小的程序漏洞也会给服务器带来意想不到的安全威胁。

服务器安全防范篇

1.服务器自身系统安全:

使用最新的操作系统,或者最新的稳定版(比如Ubuntu的LTS),定期打好更新,系统权限合理划分,重要文件做权限安全保护。

比如

# chattr +i /etc/passwd

# chattr +i /etc/group

# chattr +i /etc/shadow

# chattr +i /etc/gshadow

# chattr +i /etc/ssh/sshd_config

使用DenyHost程序防止SSH被暴力攻击,具体方法见站外文章:http://www.myhack58.com/Article/48/66/2011/28833.htm

2.Web服务器和PHP的安全规则:

首先根据需求更新Web服务器和PHP,在网站程序目录中严格定义权限,比如不会修改的地方 做好禁止写入权限, upload目录和cache等临时目录需要做好限制PHP或相关脚本运行。

nginx规则相关脚本:

location ~ .*\.(php|php5)?$ { 

…….

#——————————————

rewrite ^/(uc\_client|templates|include|plugins|admin|attachments|images|

forumdata)/.*\.(php|php5)?$ /50x.php last;

#——————————————-

}

apache规则相关脚本

 

<Directory "D:\opt\www\webroot\upload">   //注意:这里改成你需要屏蔽的目录 比如upload目录 

php_flag engine off

<Files ~ "\.(php|jsp)">

    Order allow,deny

    Deny from all 

</Files>

</Directory>

PHP.INI需要修改的地方(很重要)

查找:disable_functions
找到后在=后面添加
exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,
popepassthru,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,popen
这里都是禁止在php里面执行的函数

服务器木马查杀篇(PHP)

1.安装杀毒软件,我的服务器使用的是avast效果还算比较好。

2.根据木马特征扫描人工排查(人工排查这个就需要个人经验判断了)

PHP木马的最明显特征是使用了eval与base64_decode这个函数还有一些比较危险的函数。

可以输入下面的命令 进行查询

find /home/www/ -type f -name "*.php" | xargs grep "eval(" |more

增强版(在网站目录执行):

 

find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt

grep -r –include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt

grep -r –include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt

find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq

上面代码最终会讲名单输出到 /tmp 目录中 请直接查看列表 根据情况进行处理。

 

 

查找最近一天被修改的PHP文件

#find -mtime -1 -type f -name \*.php

修改网站的权限

find -type f -name \*.php -exec chmod 444 {} \;

find ./ -type d -exec chmod 555{} \;

 

以上就是我最近在互联网上查询到的一些安全与查杀木马的一些方法,也许还不是很全面,欢迎各位大大在留言中补充。

 

补充1:学会利用日志功能,查看黑客访问了哪些文件逐条查询,也许你会发现意想不到的东西-w-

补充2:如果觉得日志太多了,可以考虑删除掉,然后过一会再来看。当然大型网站 就麻烦了

 

警告:注意WordPress主题的缩略图脚本timthumb.php漏洞

http://xloli.net/html/201301/thread-3062-1-1.html

发布者

Zmsky

http://xloli.net/?page_id=11

《Linux安全之PHP木马查杀与防范》上有6条评论

  1. 1.技不如人的人没有任何资格要求对方怎么看待他,更何况带着挑衅的语气。人家怎么看待你是人家的自由,就冲着这一点完全的鄙视你是足够的。
    2.不用为3分钟热度和遇到问题就打退堂鼓找各种理由为自己的自尊心找退路。
    3.自己挑衅说过的话被反过来利用很舒服?赶快你赏给自己一个surface,不买是小狗。
    4.看看自己先,再说虑人家是不是无脑喷,人家说什么都分辨不清的时候就开始攻击对方。不用用用什么东西是你自由,所谓的井水不犯河水说话,既不能对你自己的喷打上掩护,也同时代表了你不是我朋友。不能喷完转过头说这句话还一脸无辜。
    5.对你是好是坏都分辨不清,乱咬人的人真随他去了。
    6.陶醉小米=不懂手机+屌丝为自己自尊心的借口。陶醉win8=根本无法理喻,上好的不思进取,又或许是所谓的“环境”问题。

    他人の影響受けやすいことと自分信念がないこと、また他人の気持ち全く理解ようもしないこと大嫌い。バカな真似を一生懸命やり続け、人の言葉を聞き流してっだ。そしてまるで悪いのは他人みたいの言い方。
    俺もいい加減に飽きた。

    さようなら、また会わないように.

  2. 完全不听劝告反而嘲笑比自己能力更强的人,把人家的好意当狗屎。
    可惜这完全是人本质的问题,而不是“系统好坏问题”。

    我也需要“净化下自己的环境”。
    我是不用期待去改变某些人,不当“神様” ,所以自然选择是离你这种人远远地。

发表评论