linux nginx php木马排查及加固整理

1、改变目录和文件属性,禁止写入

find -type f -name \*.php –exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;

注:当然要排除上传目录、缓存目录等;
同时最好禁止chmod函数,攻击者可通过chmod来修改文件只读属性再修改文件

2、php配置
禁用危险函数

passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,popen,dl,
syslog,show_source

3、nginx配置

限制一些目录执行php文件

location~^/images/.*\.(php|php5)$
{
denyall;
}

location~^/static/.*\.(php|php5)$
{
denyall;
}

location~*^/data/(attachment|avatar)/.*\.(php|php5)$
{
denyall;
}

注:这些目录的限制必须写在

location~.*\.(php|php5)$
{
fastcgi_pass  127.0.0.1:9000;
fastcgi_index  index.php;
include fcgi.conf;
}

的前面,否则限制不生效!
path_info漏洞修正:
在通用fcgi.conf顶部加入

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}

4、木马查找

php木马一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>

find /data/wwwroot/* -type f -name “*.php” |xargs grep “eval(” > /root/scan.txt

另外也有上传任意文件的后门,可以用上面的方法查找所有包括”move_uploaded_file”的文件.

还有常见的一句话后门:

grep -r –include=*.php  ‘[^a-z]eval($_POST’ . > grep.txt
grep -r –include=*.php  ‘file_put_contents(.*$_POST\[.*\]);’ . > grep.txt

把搜索结果写入文件,下载下来慢慢分析,其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找,上传图片肯定有也捆绑的,来次大清洗。

5、查找近3天被修改过的文件:

find /data/www -mtime -3 -type f -name \*.php

注意:攻击者可能会通过touch函数来修改文件时间属性来避过这种查找,所以touch必须禁止

6、查找所有图片文件

查找所有图片文件gif,jpg.有些图片内容里被添加了php后门脚本.有些实际是一个php文件,将扩展名改成了gif了.正常查看的情况下也可以看到显示的图片内容的.这一点很难发现.

曾给客户处理过这类的木马后门的.发现在php脚本里include一个图片文件,经过查看图片文件源代码,发现竟然是php脚本.

 

25 thoughts on “linux nginx php木马排查及加固整理

  1. Pingback: Girls Finishing the Job

  2. Pingback: 바카라사이트

  3. Pingback: 우리카지노

  4. Pingback: ธนาธร จึงรุ่งเรืองกิจ

  5. Pingback: http://edukacjapoliceum.pl/pestki-1939.php

  6. Pingback: i99bet

  7. Pingback: urgent gear kuroyuri black shirt

  8. Pingback: Para Elly

  9. Pingback: 안전카지노

  10. Pingback: ping google

  11. Pingback: Singles clubs

  12. Pingback: 카지노

  13. Pingback: 조커온라인카지노

  14. Pingback: Furnace Repairs Shorty's Plumbing & Heating

  15. Pingback: porn

  16. Pingback: https://dlugi-faktury.pl/

  17. Pingback: 토토사이트

  18. Pingback: dental crowns

  19. Pingback: auto generated contents

  20. Pingback: squeeqee.co.uk/carpet-cleaning-hitchin

  21. Pingback: cipro generic

  22. Pingback: chloroquine over the counter

  23. Pingback: 카지노사이트

  24. Pingback: 카지노사이트

  25. Pingback: Best Drones For Kids

Comments are closed.