php实现Linux服务器木马排查及加固功能
发布时间:2020-12-13 02:18:43 所属栏目:PHP教程 来源:网络整理
导读:《:php实现Linux服务器木马排查及加固功能》要点: 本文介绍了:php实现Linux服务器木马排查及加固功能,希望对您有用。如果有疑问,可以联系我们。 PHP实战 网站频繁被挂马?做一些改进,基本上能把这个问题办理,因为discuz x等程序存在漏洞,被上传了websehl
|
《:php实现Linux服务器木马排查及加固功能》要点: PHP实战网站频繁被挂马?做一些改进,基本上能把这个问题办理,因为discuz x等程序存在漏洞,被上传了websehll,每次被删除过段时间又出来了,最终查到所有的木马. PHP实战从以下几个方面查找并加强(如果能不开启会员功能,不给任何上传入口,保护好后台暗码,加固好PHP,一般就没什么问题了). PHP实战1.根据特征码查找: PHP实战php木马一般含有
代码如下:
<?php eval($_POST[cmd]);?> 或者
代码如下:
<?php assert($_POST[cmd]);?> PHP实战find /wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /wwwroot/scan.txt PHP实战结果就查出很多明显的webshell,而且发现都藏在attachment等目录下 PHP实战2.利用网上的一个php代码,搜索最近被修改的文件 PHP实战scandir.php
代码如下:
<?php set_time_limit(0);//防止超时 /** * * php目录扫描监控增强版 * * @author lssbing (lssbing#gmail.com) * @date 2010-1-18 * @license BSD * @version 1.0 * 下面几个变量使用前需要手动设置 * **/ /*===================== 程序配置 =====================*/ $pass="12345";//设置暗码 $jkdir="."; //设置监控扫描的目录,当前目录为'.',上一级目录为'..',也可以设置绝对路径,后面不要加斜杠,默认为当前目录 $logfilename="./m.log";//设置存储log的路径,可以放置在任意位置 $exclude=array('data','images');//排除目录 $danger='eval|cmd|passthru|gzuncompress';//设置要查找的危险的函数 以确定是否木马文件 $suffix='php|inc';//设置要扫描文件的后缀 /*===================== 配置结束 =====================*/ ? $filename=$_GET['filename']; $check=$_GET['check']; $jumpoff=false; $url = $_SERVER['PHP_SELF']; $thisfile = end(explode('/',$url)); $jump="{$thisfile}|".implode('|',$exclude); $jkdir_num=$file_num=$danger_num=0; define('M_PATH',$jkdir); define('M_LOG',$logfilename); if ($check=='check') { $safearr = explode("|",$jump); $start_time=microtime(true); safe_check($jkdir); $end_time=microtime(true); $total=$end_time-$start_time; $file_num=$file_num-$jkdir_num; $message= " 文件数:".$file_num; $message.= " 文件夹数:".$jkdir_num; $message.= " 可疑文件数:".$danger_num; $message.= " 执行时间:".$total; echo $message; }else{ if ($_GET['m']=="del") Delete();//处理文件删除 //读取文件内容 if(isset($_GET['readfile'])){ //输出查看暗码,暗码校验正确以后输出文件内容 if(emptyempty($_POST['passchack'])){ ?? echo"<form id="form1" name="form1" method="post">" ??? . " <label>pass" ??? . " <input type="text" name="passchack" />" ??? . " </label>" ??? . " <input type="submit" name="Submit" value="提交" />" ??? . "</form>" ?? .""; ?? exit; }elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){ ?? $code=file_get_contents($_GET['readfile']); ?? echo"<textarea name="code" cols="150" rows="30" id="code" style='width:100%;height:450px;background:#cccccc;'>{$code}</textarea>"; ?? exit; }else{ ?? exit; } ? }else{ record_md5(M_PATH); if(file_exists(M_LOG)){ ??????? $log = unserialize(file_get_contents(M_LOG)); }else{ ??????? $log = array(); } ? if($_GET['savethis']==1){ //保存当前文件md5到日志文件 @unlink(M_LOG); file_put_contents(M_LOG,serialize($file_list)); echo "<a href='scandir.php'>保存成功!点击返回</a>"; exit; } if(emptyempty($log)){ echo "当前还没有创建日志文件!点击[保存当前]创建日志文件!"; }else{ if($file_list==$log){ ?? echo "本文件夹没有做过任何改动!"; }else{ ?? if(count($file_list) > 0 ){ ??? foreach($file_list as $file => $md5){ ??? if(!isset($log[$file])){ ???? echo "新增文件:<a href={$file} target='_blank'>".$file."</a>"." 创建时间:".date("Y-m-d H:i:s",filectime($file))." 修改时间:".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank'>源码</a><a href='?m=del&filename={$file}' target='_blank'>删除</u></a><br />"; ??? }else{ ???? if($log[$file] != $md5){ ???? echo "修改文件:<a href={$file} target='_blank'>".$file."</a>"." 创建时间:".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank'>源码</a><br />"; ? ???? unset($log[$file]); ???? }else{ ???? unset($log[$file]); ???? } ??? } ??? } ?? } ?? if(count($log)>0){ ??? foreach($log as $file => $md5){ ??? echo "删除文件:<a href={$file} target='_blank'>".$file."</a><br />"; ??? } ?? } ??? } } } } ? //计算md5 function record_md5($jkdir){ ??????? global $file_list,$exclude; ??????? if(is_dir($jkdir)){ ??????????????? $file=scandir($jkdir); ??????????????? foreach($file as $f){ ??????????????????????? if($f!='.' && $f!='..' && !in_array($f,$exclude)){ ??????????????????????????????? $path = $jkdir.'/'.$f; ??????????????????????????????? if(is_dir($path)){ ??????????????????????????????????????? record_md5($path); ??????????????????????????????? }else{ ??????????????????????????????????????? $file_list[$path]=md5_file($path); ??????????????????????????????? } ??????????????????????? } ??????????????? } ??????? } } ? function Safe_Check($jkdir)//遍历文件 { global $danger,$suffix,$jkdir_num,$file_num,$danger_num; ? $hand=@dir($jkdir) or die('文件夹不存在') ; while ($file=$hand->read()) { ??? $filename=$jkdir.'/'.$file; ??? if (!$jumpoff) { ?? if(Jump($filename))continue; ??? } ??? if(@is_dir($filename) && $file != '.' && $file!= '..'&& $file!='./..') ??? {?? $jkdir_num++; ??? Safe_Check($filename); ??? } ??? if (preg_match_all ("/.($suffix)/i",$filename,$out)) ??? { ? ?? $str=''; ?? $fp = @fopen($filename,'r')or die('没有权限'); ?? while(!feof($fp)) ?? { ?? $str .= fgets($fp,1024); ?? } ?? fclose($fp); ?? if( preg_match_all ("/($danger)[ rnt]{0,}([[(])/i",$str,$out)) ?? { ?? echo "<font color='green' style='font-size:14px'>可疑文件:{$filename}</font>"." 创建时间:".date("Y-m-d H:i:s",filectime($filename))." 修改时间:".date("Y-m-d H:i:s",filemtime($filename))." <a href='?readfile={$filename}' target='_blank'><u>查看代码</u></a> <a href='?m=del&filename=$filename' target='_blank'>删除</u></a><br>"; ?? $danger_num++; ?? } ??? } ??? $file_num++; } } function Edit()//查看可疑文件 { global $filename; $filename = str_replace("..","",$filename); $file = $filename; $content = ""; if(is_file($file)) { ??? $fp = fopen($file,"r")or die('没有权限'); ??? $content = fread($fp,filesize($file)); ??? fclose($fp); ??? $content = htmlspecialchars($content); ? } echo "<textarea name='str' style='width:100%;height:450px;background:#cccccc;'>$content</textarea>rn"; exit(); } function Delete()//删除文件 { global $filename,$pass; if(emptyempty($_POST['passchack'])){ ??? echo"<form id="form1" name="form1" method="post">" ?? . " <label>pass" ?? . " <input type="text" name="passchack" />" ?? . " </label>" ?? . " <input type="submit" name="Submit" value="提交" />" ?? . "</form>" ??? .""; ??? exit; }elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){ ?? (is_file($filename))?($mes=unlink($filename)?'删除成功':'删除失败 查看权限'):''; ?? echo $mes; ?? exit(); }else{ ?? echo '暗码错误!'; ?? exit; } } function Jump($file)//跳过文件 { global $jump,$safearr; if($jump != '') { ??? foreach($safearr as $v) ??? { ?? if($v=='') continue; ?? if( eregi($v,$file) ) return true ; ??? } } return false; } ?> <a href="scandir.php">[查看文件改动]</a>|<a href="scandir.php?savethis=1">[保存当前文件指纹]</a>|<a href="scandir.php?check=check">[扫描可疑文件]</a> PHP实战执行后能看到最近被修改的文件,具有参加价值 PHP实战3.修改php.ini,限制以下函数
代码如下:
disable_functions =? phpinfo,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocke,popen,proc_close,curl_exec,curl_multi_exec,parse_ini_file,show_source,escapeshellarg,escapeshellcmd PHP实战4.修改nginx.conf,限制一些目录执行php文件
代码如下:
server { ??? listen?????? 80; ??? server_name? www.***.com; ??? index?? index.htm index.html index.php; ??? root? /wwwroot/; ???? ? ?????? ??? rewrite ^([^.]*)/topic-(.+).html$ $1/portal.php?mod=topic&topic=$2 last; ??? rewrite ^([^.]*)/article-([0-9]+)-([0-9]+).html$ $1/portal.php?mod=view&aid=$2&page=$3 last; ??? rewrite ^([^.]*)/forum-(w+)-([0-9]+).html$ $1/forum.php?mod=forumdisplay&fid=$2&page=$3 last; ??? rewrite ^([^.]*)/thread-([0-9]+)-([0-9]+)-([0-9]+).html$ $1/forum.php?mod=viewthread&tid=$2&extra=page%3D$4&page=$3 last; ??? rewrite ^([^.]*)/group-([0-9]+)-([0-9]+).html$ $1/forum.php?mod=group&fid=$2&page=$3 last; ??? rewrite ^([^.]*)/space-(username|uid)-(.+).html$ $1/home.php?mod=space&$2=$3 last; ??? rewrite ^([^.]*)/([a-z]+)-(.+).html$ $1/$2.php?rewrite=$3 last; ??? rewrite ^([^.]*)/topic-(.+).html$ $1/portal.php?mod=topic&topic=$2 last; ???????? ? ??????? location ~ ^/images/.*.(php|php5)$ ??????????????? { ????????????? deny all; ??????????????? } ? ??????? location ~ ^/static/.*.(php|php5)$ ??????????????? { ?????????????? deny all; ??????????????? } ? ??????? location ~* ^/data/(attachment|avatar)/.*.(php|php5)$ ??????????? { ??????????????? deny all; ??????????? } ? ??? location ~ .*.(php|php5)?$ ??? {?????? ????? fastcgi_pass? 127.0.0.1:9000; ????? fastcgi_index index.php; ????? include fcgi.conf; ??? } ???? ???????? ? error_page? 400 /404.html; error_page? 403 /404.html; error_page? 404 /404.html; error_page? 405 /404.html; error_page? 408 /404.html; error_page? 410 /404.html; error_page? 411 /404.html; error_page? 412 /404.html; error_page? 413 /404.html; error_page? 414 /404.html; error_page? 415 /404.html; error_page? 500 /404.html; error_page? 501 /404.html; error_page? 502 /404.html; error_page? 503 /404.html; error_page? 506 /404.html; ? ? log_format? acclog??? "$remote_addr $request_time $http_x_readtime [$time_local] "$request_method http://$host$request_uri" $status $body_bytes_sent "$http_referer" "$http_user_agent""; ??????? access_log? /logs/access.log? acclog; } PHP实战此处必要注意的是
代码如下:
location ~ ^/images/.*.(php|php5)$ { ? deny all; } PHP实战这些目录的限制必需写在
代码如下:
location ~ .*.(php|php5)?$ {?????? ? fastcgi_pass? 127.0.0.1:9000; ? fastcgi_index index.php; ? include fcgi.conf; } PHP实战的前面,不然限制不生效. 编程之家培训学院每天发布《:php实现Linux服务器木马排查及加固功能》等实战技能,PHP、MYSQL、LINUX、APP、JS,CSS全面培养人才。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |