Linux系統木馬後門查殺方法詳解

2021-09-20 17:29:28 字數 1389 閱讀 1671

木馬和後門的查殺是系統管理員一項長期需要堅持的工作,切不可掉以輕心。以下從幾個方面在說明linux系統環境安排配置防範和木馬後門查殺的方法:

一、web server(以nginx為例)

1、為防止跨站感染,將虛擬主機目錄隔離(可以直接利用fpm建立多個程式池達到隔離效果)

2、上傳目錄、include類的庫檔案目錄要禁止**執行(nginx正則過濾)

3、path_info漏洞修正:

在nginx配置檔案中增加:

if ($request_filename ~* (.*).php) if (!-e $php_url.php)
4、重新編譯web server,隱藏server資訊

5、開啟相關級別的日誌,追蹤可疑請求,請求者ip等相關資訊。

二.改變目錄和檔案屬性,禁止寫入

find -type f -name *.php -exec chmod 444 {} ;find -type d -exec chmod 555 {} ;
注:當然要排除上傳目錄、快取目錄等;

同時最好禁止chmod函式,攻擊者可通過chmod來修改檔案唯讀屬性再修改檔案!

三.php配置

修改php.ini配置檔案,禁用危險函式:

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.mysql資料庫賬號安全:

禁止mysql使用者外部鏈結,程式不要使用root賬號,最好單獨建立乙個有限許可權的賬號專門用於web程式。

五.查殺木馬、後門

grep -r –include=*.php 『[^a-z]eval_r($_post』 . > grep.txtgrep -r –include=*.php 『file_put_contents(.*$_post[.*]);』 . > grep.txt
查詢近2天被修改過的檔案:

find -mtime -2 -type f -name *.php
注意:攻擊者可能會通過touch函式來修改檔案時間屬性來避過這種查詢,所以touch必須禁止

六.及時給linux系統和web程式打補丁,堵上漏洞

ASP木馬後門檢測

圖 文 張馨餘 作為乙個入侵愛好者,你是否想到過自己辛苦入侵後留下的asp木馬會是有後門的呢?今天我們就來看看如何查詢asp木馬的後門,方法超級簡單。首先用解密工具將加密的asp木馬解密,再用文字方式開啟解密後的asp木馬,仔細查詢,發現一處 prevres p urevres u 2 da?da ...

揭密如何寫ASP木馬後門

正常的 end function if session web2a2dmin userpass then if request.form pass then if request.form pass userpass then session web2a2dmin userpass response...

窺探一句話木馬後門的背後

分析的木馬後門 password vae 登入密碼 支援菜刀 功能程式 c chr session start if empty session phpcode un c 103 c 122 c 105 c 110 un.c 102 c 108 c 97 c 116 c base64 decode ...