木馬和後門的查殺是系統管理員一項長期需要堅持的工作,切不可掉以輕心。以下從幾個方面在說明linux系統環境安排配置防範和木馬後門查殺的方法:
一、web server(以nginx為例)
1、為防止跨站感染,將虛擬主機目錄隔離(可以直接利用fpm建立多個程式池達到隔離效果)
2、上傳目錄、include類的庫檔案目錄要禁止**執行(nginx正則過濾)
3、path_info漏洞修正:
在nginx配置檔案中增加:
if ($request_filename ~* (.*).php) if (!-e $php_url.php)4、重新編譯web server,隱藏server資訊
5、開啟相關級別的日誌,追蹤可疑請求,請求者ip等相關資訊。
二.改變目錄和檔案屬性,禁止寫入
find -type f -name *.php -exec chmod 444 {} ;find -type d -exec chmod 555 {} ;注:當然要排除上傳目錄、快取目錄等;
同時最好禁止chmod函式,攻擊者可通過chmod來修改檔案唯讀屬性再修改檔案!
三.php配置
修改php.ini配置檔案,禁用危險函式:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg四.mysql資料庫賬號安全:
禁止mysql使用者外部鏈結,程式不要使用root賬號,最好單獨建立乙個有限許可權的賬號專門用於web程式。
五.查殺木馬、後門
grep -r –include=*.php 『[^a-z]eval_r($_post』 . > grep.txtgrep -r –include=*.php 『file_put_contents(.*$_post[.*]);』 . > grep.txt查詢近2天被修改過的檔案:
find -mtime -2 -type f -name *.php注意:攻擊者可能會通過touch函式來修改檔案時間屬性來避過這種查詢,所以touch必須禁止
六.及時給linux系統和web程式打補丁,堵上漏洞
ASP木馬後門檢測
圖 文 張馨餘 作為乙個入侵愛好者,你是否想到過自己辛苦入侵後留下的asp木馬會是有後門的呢?今天我們就來看看如何查詢asp木馬的後門,方法超級簡單。首先用解密工具將加密的asp木馬解密,再用文字方式開啟解密後的asp木馬,仔細查詢,發現一處 prevres p urevres u 2 da?da ...
揭密如何寫ASP木馬後門
正常的 end function if session web2a2dmin userpass then if request.form pass then if request.form pass userpass then session web2a2dmin userpass response...
窺探一句話木馬後門的背後
分析的木馬後門 password vae 登入密碼 支援菜刀 功能程式 c chr session start if empty session phpcode un c 103 c 122 c 105 c 110 un.c 102 c 108 c 97 c 116 c base64 decode ...