linux 查杀php木马,linux上php木马、后门查杀总结
Web Server(Nginx为例)
1、为防止跨站感染,要做虚拟主机目录隔离(我是直接利用fpm建立多个程序池达到隔离效果)
2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)
3、path_info漏洞修正:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新编译Web Server,隐藏Server信息。
5、打开相关级别的日志,追踪可疑请求,请求者IP等相关信息。
改变目录和文件属性,禁止写入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
注:当然要排除上传目录、缓存目录等;
同时最好禁止chmod函数,攻击者可通过chmod来修改文件只读属性再修改文件!
PHP配置
禁用危险函数:
dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
MySQL账号安全:禁止mysql用户外部链接,程序不要使用root账号,最好单独建立一个有限权限的账号专门用于Web程序。
查杀木马、后门
常见的一句话后门:
grep -r –include=*.php ‘[^a-z]eval($_POST’ . > grep.txt
grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . > grep.txt
把搜索结果写入文件,下载下来慢慢分析,其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找,上传图片肯定有也捆绑的,来次大清洗。
查找近2天被修改过的文件:
find -mtime -2 -type f -name \*.php
注意:攻击者可能会通过touch函数来修改文件时间属性来避过这种查找,所以touch必须禁止
最后要及时补上Web程序漏洞
总结
木马、后门查杀是个漫长的过程,网站一旦被入侵任何旮旯拐角都可能留下后门。中途可能和攻击者进行神交,摸清攻击者的性格、习性等,这些都有利于查杀。要现需谨慎地和攻击者交流,期间就有几个攻击者加我QQ和我交流。也是个很有意思的过程
linux 查杀php木马,linux上php木马、后门查杀总结相关推荐
- 免杀艺术 1: 史上最全的免杀方法汇总
本文讲的是免杀艺术 1: 史上最全的免杀方法汇总, 从本文开始,我们将分三章来系统的讲述一下有关免杀的各种技术. 虽然目前有很多方法可以让恶意软件使用某一技术绕过反病毒检测,但这些显然不是恶意软件免杀 ...
- 封神台 第四章:进击!拿到Web最高权限(绕过防护上传木马)
封神台 https://hack.zkaq.cn 一.1.通过修改Cookie登录后台(没用重打) 2,上传SHELL!3,Flag在网站根目录(flag.php) 3 ...
- Linux系统木马后门查杀方法详解
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...
- linux mysql木马_Linux系统木马后门查杀方法
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...
- linux服务器查杀,Linux服务器PHP后门查杀
shell脚本一句话查找PHP一句话木马 # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval( ...
- linux stopped 进程,Linux运维知识之Linux查杀stopped进程
本文主要向大家介绍了Linux运维知识之Linux查杀stopped进程,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助. 在Linux系统下面,top命令可以查看查看stoppe ...
- 织梦cms木马查杀php,dedecms挂上木马后处理方法
因为喜欢PHP和开源所以喜欢上DEDECMS,但是因为技术有限所以用起来遇到很多的困难而又没人帮忙,只能自己摸索加向朋友提问,从中也体会到做个人站长的辛苦. 正因为织梦的免费开源也导致他最容易出现漏洞 ...
- mysql数据库木马查杀_Linux系统木马后门查杀方法详解
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...
- 恶意软件伪装成系统更新,通杀Win Mac Linux三大系统,隐藏半年才被发现
晓查 发自 凹非寺 量子位 | 公众号 QbitAI 能同时攻击Windows.Mac.Linux三大操作系统的恶意软件出现了. 虽然"全平台通杀"病毒并不常见,但是安全公司Int ...
最新文章
- asp.net 备份和恢复SQL SERVER 数据库
- u盘安装linux18.04.3遇到的坑
- 王道计算机考研 计算机组成原理 第二章、数据的表示和运算
- 【CSS3】table的css属性
- OpenCV在Android设备上运行深度网络
- .net下完成端口(IOCP)的实现
- 如何用好埋点中的数据
- 今天遇到个超郁闷的问题
- linux修改mdc时钟,Linux下用xsupplicant或mdc拨号上网
- Linux的文件系统与文件
- Hyperledger Fabric教程(12)--链码chaincode样例
- 记字符编码与转义符的纠缠
- Autojs微信自动操作免root脚本源码
- SQL中进行去重的方法
- swin transformer解读
- python持续集成工具_21 个好用的持续集成工具,总有一款适合你
- 权限认证实现(责任链模式)
- java exls_java excel类
- PAT乙级1040:有几个PAT (25)
- Javascript基础*
热门文章
- mysql用户如何迁移_迁移MySQL用户及权限
- C++继承时名字的遮蔽
- Spring Boot 注解定时任务
- ARMA模型的性质之ARMA模型
- 【课题总结】OpenCV 抠图项目实战(12)源程序代码
- 自动驾驶芯片_自动驾驶芯片“争夺战”
- 神舟笔记本风扇控制软件_十代酷睿+RTX2070加持 高性能游戏本首选神舟战神G9CU7PK...
- Php获取id并提交表单,提交表单后 PHP获取提交内容的实现方法
- mysqlmodify_modify与change的区别
- 使用pm2启动node文件_PM2 是什么