办事器安然防备篇
1.办事器本身系统安然:
利用最新的把持系统,或最新的不变版(好比Ubuntu的LTS),按期打好更新,系统权限合理划分,首要文件做权限安然呵护。
好比:
# chattr +i /etc/passwd
# chattr +i /etc/group
# chattr +i /etc/shadow
# chattr +i /etc/gshadow
# chattr +i /etc/ssh/sshd_config
利用DenyHost法度避免SSH被暴力报复打击,具体编制见站外文章:http://www.myhack58.com/Article/48/66/2011/28833.htm
2.Web办事器和PHP的安然法则:
起首按照需求更新Web办事器和PHP,在网站法度目次中严格定义权限,好比不会点窜的处所 做好避免写进权限, upload目次和cache等姑且目次需要做好限制PHP或相干脚本运行。
nginx法则相干脚本:
location ~ .*\.(php|php5)?$ {
…….
#——————————————
rewrite ^/(uc\_client|templates|include|plugins|admin|attachments|images|
forumdata)/.*\.(php|php5)?$ /50x.php last;
#——————————————-
}
apache法则相干脚本
//寄望:这里改成你需要樊篱的目次 好比upload目次
php_flag engine off
Order allow,deny
Deny from all
PHP.INI需要点窜的处所(很首要)
查找:disable_functions
找到后在=后面添加
exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,
popepassthru,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,popen
这里都是避免在php里面履行的函数
办事器木马查杀篇(PHP)
1.安装杀毒软件,我的办事器利用的是avast结果还算比较好。
2.按照木马特点扫描人工排查(人工排查这个就需要小我经验鉴定了)
PHP木马的最较着特点是利用了eval与base64_decode这个函数还有一些比较危险的函数。
可以输进下面的号令 进行查询
find /home/www/ -type f -name "*.php" | xargs grep "eval(" |more
加强版(在网站目次履行):
find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt
grep -r –include=*.php '[^a-z]eval($_POST' . >/tmp/eval.txt
grep -r –include=*.php 'file_put_contents(.*$_POST\[.*\]);' . >/tmp/file_put_contents.txt
find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
上面代码最终会讲名单输出到 /tmp 目次中 请直接查看列表 按照环境进行措置。
查找比来一天被点窜的PHP文件
#find -mtime -1 -type f -name \*.php
点窜网站的权限
find -type f -name \*.php -exec chmod 444 {} \;
find ./ -type d -exec chmod 555{} \;
以上就是我比来在互联网上查询到的一些安然与查杀木马的一些编制,或许还不是很周全,欢迎各位大年夜大年夜在留言中弥补。
弥补1:学会操纵日记功能,查看黑客拜候了哪些文件逐条查询,或许你会发现意想不到的东西-w-
弥补2:假定感觉日记太多了,可以考虑删除掉落,然后过一会再来看。当然大年夜型网站就麻烦了。