Web Server(Nginx为例)

1、为防止跨站感染,要做虚拟主机目录隔离(我是直接利用fpm建立多个程序池达到隔离效果)

2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)

3、path_info漏洞修正:

if ($request_filename ~* (.*)\.php) {

set $php_url $1;

}

if (!-e $php_url.php) {

return 404;

}

4、重新编译Web Server,隐藏Server信息。

5、打开相关级别的日志,追踪可疑请求,请求者IP等相关信息。

改变目录和文件属性,禁止写入

find -type f -name \*.php -exec chmod 444 {} \;

find -type d -exec chmod 555 {} \;

注:当然要排除上传目录、缓存目录等;

同时最好禁止chmod函数,攻击者可通过chmod来修改文件只读属性再修改文件!

PHP配置

禁用危险函数:

dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg

MySQL账号安全:禁止mysql用户外部链接,程序不要使用root账号,最好单独建立一个有限权限的账号专门用于Web程序。

查杀木马、后门

常见的一句话后门:

grep -r –include=*.php  ‘[^a-z]eval($_POST’ . > grep.txt

grep -r –include=*.php  ‘file_put_contents(.*$_POST\[.*\]);’ . > grep.txt

把搜索结果写入文件,下载下来慢慢分析,其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找,上传图片肯定有也捆绑的,来次大清洗。

查找近2天被修改过的文件:

find -mtime -2 -type f -name \*.php

注意:攻击者可能会通过touch函数来修改文件时间属性来避过这种查找,所以touch必须禁止

最后要及时补上Web程序漏洞

总结

木马、后门查杀是个漫长的过程,网站一旦被入侵任何旮旯拐角都可能留下后门。中途可能和攻击者进行神交,摸清攻击者的性格、习性等,这些都有利于查杀。要现需谨慎地和攻击者交流,期间就有几个攻击者加我QQ和我交流。也是个很有意思的过程

linux 查杀php木马,linux上php木马、后门查杀总结相关推荐

  1. 免杀艺术 1: 史上最全的免杀方法汇总

    本文讲的是免杀艺术 1: 史上最全的免杀方法汇总, 从本文开始,我们将分三章来系统的讲述一下有关免杀的各种技术. 虽然目前有很多方法可以让恶意软件使用某一技术绕过反病毒检测,但这些显然不是恶意软件免杀 ...

  2. 封神台 第四章:进击!拿到Web最高权限(绕过防护上传木马)

    封神台 https://hack.zkaq.cn 一.1.通过修改Cookie登录后台(没用重打)         2,上传SHELL!3,Flag在网站根目录(flag.php)         3 ...

  3. Linux系统木马后门查杀方法详解

    木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...

  4. linux mysql木马_Linux系统木马后门查杀方法

    木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...

  5. linux服务器查杀,Linux服务器PHP后门查杀

    shell脚本一句话查找PHP一句话木马 # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval( ...

  6. linux stopped 进程,Linux运维知识之Linux查杀stopped进程

    本文主要向大家介绍了Linux运维知识之Linux查杀stopped进程,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助. 在Linux系统下面,top命令可以查看查看stoppe ...

  7. 织梦cms木马查杀php,dedecms挂上木马后处理方法

    因为喜欢PHP和开源所以喜欢上DEDECMS,但是因为技术有限所以用起来遇到很多的困难而又没人帮忙,只能自己摸索加向朋友提问,从中也体会到做个人站长的辛苦. 正因为织梦的免费开源也导致他最容易出现漏洞 ...

  8. mysql数据库木马查杀_Linux系统木马后门查杀方法详解

    木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...

  9. 恶意软件伪装成系统更新,通杀Win Mac Linux三大系统,隐藏半年才被发现

    晓查 发自 凹非寺 量子位 | 公众号 QbitAI 能同时攻击Windows.Mac.Linux三大操作系统的恶意软件出现了. 虽然"全平台通杀"病毒并不常见,但是安全公司Int ...

最新文章

  1. asp.net 备份和恢复SQL SERVER 数据库
  2. u盘安装linux18.04.3遇到的坑
  3. 王道计算机考研 计算机组成原理 第二章、数据的表示和运算
  4. 【CSS3】table的css属性
  5. OpenCV在Android设备上运行深度网络
  6. .net下完成端口(IOCP)的实现
  7. 如何用好埋点中的数据
  8. 今天遇到个超郁闷的问题
  9. linux修改mdc时钟,Linux下用xsupplicant或mdc拨号上网
  10. Linux的文件系统与文件
  11. Hyperledger Fabric教程(12)--链码chaincode样例
  12. 记字符编码与转义符的纠缠
  13. Autojs微信自动操作免root脚本源码
  14. SQL中进行去重的方法
  15. swin transformer解读
  16. python持续集成工具_21 个好用的持续集成工具,总有一款适合你
  17. 权限认证实现(责任链模式)
  18. java exls_java excel类
  19. PAT乙级1040:有几个PAT (25)
  20. Javascript基础*

热门文章

  1. mysql用户如何迁移_迁移MySQL用户及权限
  2. C++继承时名字的遮蔽
  3. Spring Boot 注解定时任务
  4. ARMA模型的性质之ARMA模型
  5. 【课题总结】OpenCV 抠图项目实战(12)源程序代码
  6. 自动驾驶芯片_自动驾驶芯片“争夺战”
  7. 神舟笔记本风扇控制软件_十代酷睿+RTX2070加持 高性能游戏本首选神舟战神G9CU7PK...
  8. Php获取id并提交表单,提交表单后 PHP获取提交内容的实现方法
  9. mysqlmodify_modify与change的区别
  10. 使用pm2启动node文件_PM2 是什么