linux系统相对比windows安全但是有些程序上的不安全行为不管你是什么系统一样也会存在危险因素在这里我们总结出了linux系统下的一些常见排除木马和加固系统安全性的方法
改变目录和文件属性禁止写入
find type f name \*php exec chmod {} \;
find type d exec chmod {} \;
注当然要排除上传目录缓存目录等;
同时最好禁止chmod函数攻击者可通过chmod来修改文件只读属性再修改文件
php的危险配置
禁用一些危险的php函数例如
passthruexecsystemchrootscandirchgrpchownshell_execproc_openproc_get_statusini_alter
ini_alterini_restoredlopenlogsyslogreadlinksymlinkpopepassthrustream_socket_serverescapeshellcmdpopendl
syslogshow_source
nginx安全方面的配置
限制一些目录执行php文件
location~^/images/*\(php|php)$
{
denyall;
}
location~^/static/*\(php|php)$
{
denyall;
}
location~*^/data/(attachment|avatar)/*\(php|php)$
{
denyall;
}
注这些目录的限制必须写在
location~*\(php|php)$
{
fastcgi_pass :;
fastcgi_index indexphp;
include fcgiconf;
}
的前面否则限制不生效!
path_info漏洞修正
在通用fcgiconf顶部加入
if ($request_filename ~* (*)\php) {
set $php_url $;
}
if (!e $php_urlphp) {
return ;
}
linux系统下查找php的相关木马
php木马一般含有或者
find /data/wwwroot/* type f name "*php" |xargs grep "eval(" > /root/scantxt
另外也有上传任意文件的后门可以用上面的方法查找所有包括"move_uploaded_file"的文件
还有常见的一句话后门
grep r include=*php [^az]eval($_POST > greptxt
grep r include=*php file_put_contents(*$_POST\[*\]); > greptxt
把搜索结果写入文件下载下来慢慢分析其他特征木马后门类似有必要的话可对全站所有文件来一次特征查找上传图片肯定有也捆绑的来次大清洗
查找近天被修改过的文件
find /data/www mtime type f name \*php
注意攻击者可能会通过touch函数来修改文件时间属性来避过这种查找所以touch必须禁止
查找所有图片文件
查找所有图片文件gifjpg有些图片内容里被添加了php后门脚本有些实际是一个php文件将扩展名改成了gif了正常查看的情况下也可以看到显示的图片内容的这一点很难发现
何不去远方!昆明呀——赶一个花海;
