Linux安全之PHP木马查杀与防范
1.服务器自身系统安全:
使用最新的操作系统,或者最新的稳定版(比如Ubuntu的LTS),定期打好更新,系统权限合理划分,重要文件做权限安全保护。
比如:
# chattr +i /etc/passwd# chattr +i /etc/group# chattr +i /etc/shadow# chattr +i /etc/gshadow# chattr +i /etc/ssh/sshd_config使用DenyHost程序防止SSH被暴力攻击,具体方法见站外文章:http://www.myhack58.com/Article/48/66/2011/28833.htm
2.Web服务器和PHP的安全规则:
首先根据需求更新Web服务器和PHP,在网站程序目录中严格定义权限,比如不会修改的地方 做好禁止写入权限, upload目录和cache等临时目录需要做好限制PHP或相关脚本运行。
nginx规则相关脚本:
location ~ .*\.(php|php5)?$ {rewrite ^/(uc\_client|templates|include|plugins|admin|attachments|images|forumdata)/.*\.(php|php5)?$ /50x.php last;
}apache规则相关脚本
//注意:这里改成你需要屏蔽的目录 比如upload目录
php_flag engine off
Order allow,deny
Deny from all
php.ini需要修改的地方
查找:disable_functions找到后在=后面添加这里都是禁止在php里面执行的函数
exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,
popepassthru,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,popen服务器木马查杀篇(PHP)
1.安装杀毒软件,我的服务器使用的是avast效果还算比较好。
2.根据木马特征扫描人工排查(人工排查这个就需要个人经验判断了)
PHP木马的最明显特征是使用了eval与base64_decode这个函数还有一些比较危险的函数。
可以输入下面的命令 进行查询
find /home/www/ -type f -name "*.php" | xargs grep "eval(" |more增强版(在网站目录执行):
find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txtgrep -r –include=*.php '[^a-z]eval($_POST' . >/tmp/eval.txtgrep -r –include=*.php 'file_put_contents(.*$_POST\[ .*\ ]);' . >/tmp/file_put_contents.txtfind ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq代码中的空格使用时注意下
上面代码最终会讲名单输出到 /tmp 目录中 请直接查看列表 根据情况进行处理。
3.查找最近一天被修改的PHP文件
#find -mtime -1 -type f -name \*.php修改网站的权限
find -type f -name \*.php -exec chmod 444 {} \;find ./ -type d -exec chmod 555{} \;Linux安全之PHP木马查杀与防范相关推荐
- Linux下 XordDos(BillGates)木马查杀记录
最近朋友的一台服务器突然网络异常,cpu占用率暴表,登录上去一查,cpu占用300% 左右,流量异常,经过看查进程,获取信息最终确认为中了dos木马,经过几天的研究,基本上已经清除,以下是清理记录. ...
- linux服务器杀毒软件命令,悬镜Linux服务器卫士-木马查杀详解
原标题:悬镜Linux服务器卫士-木马查杀详解 今天悬镜小编详细给大家讲解下悬镜管家中-木马查杀功能的使用情况. 对于WebShell的理解,"Web"显然需要服务器开放Web服务 ...
- linux服务器上使用find查杀webshell木马方法
linux服务器上使用find查杀webshell木马方法 本文转自:http://ju.outofmemory.cn/entry/256317 只要从事互联网web开发的,都会碰上web站点被入侵的 ...
- svcagent32.exe,javaM.exe木马查杀解决方案 (转Ad0.cn)
svcagent32.exe,javaM.exe木马查杀解决方案(Ad0.cn原创) svcagent32.exe, svcupdate.exe木马查杀方案(病毒清除)! svcagent32木马特征 ...
- 病毒木马查杀实战第009篇:QQ盗号木马之手动查杀
前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香" ...
- 病毒木马查杀实战第026篇:“白加黑”恶意程序研究(上)
前言 众所周知,传统的恶意程序都是由单一文件构成的.从而实现某一种或者几种恶意功能. 而这类的恶意程序为了避免被发现以及被查杀,往往会採用五花八门的自我隐藏技术以及免杀技术,病毒程序的作者非常多时候也 ...
- 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...
- 病毒木马查杀的问与答
1 哪种类型病毒难以处理 感染性的病毒,因为这种病毒会破坏文件系统,而如果要恢复文件系统就需要对病毒进行逆向分析.如果是普通的病毒感染,不需要进行逆向分析,就可以编写出来专杀软件. 2 对病毒进行分析 ...
- 一键清理网站木马文件,从此网站拥有专属保镖 ——阿里云虚拟主机推出木马查杀功能
近日,阿里云推出了云虚拟主机网站木马查杀的新功能,十分适合对网站安全不了解.不熟悉的用户,或网站出现挂马情况不清楚如何处理的用户. 阿里云表示,此次网站木马查杀功能是阿里云安骑士专为虚拟主机推出的安全 ...
最新文章
- 第三代测序之Pacific Biosciences
- qt designer 插入图片_高清免版权免费图片素材哪里找?
- pcb入门之原理图的绘制
- vue非编译的模块化写法
- 在进行 ASP.NET 开发时,有时候需要对页面输出的最终 HTML 源代码进行控制
- delphi 调用 c# 写的webservice
- reactrouter4路由钩子_react router @4 和 vue路由 详解(八)vue路由守卫
- 算到怀疑人生!如何用并查集解决朋友圈个数问题?
- Qt 去除控件边框线
- Linux从入门到入土①(Linux概述、文件系统、VIM编辑器)
- 回归系数t检验公式_最全物理公式合集,高考这一份就够了!
- 气象信息无线监测采集系统
- [TYVJ1143]飘飘乎居士的约会
- python设置窗口位置_python中tkinter窗口位置
- 肽核酸(PNA)偶联穿膜肽(CCPs)(KFF)3K形成CCPs-PNA|肽核酸的使用方法
- mongodb 分组获取最新一条的数据
- 2K和XP的CMD命令教程(命令篇.要求置顶)
- VBA批量OCR识别提取身份证照片信息_手机扫描仪:直装就是VIP,不限次数,一秒钟就能提取图片中的文字...
- dw01均衡电路_一种基于dw01的电池保护电路调试测试方法
- python画条形图并分类-python matplotlib库绘制条形图练习题