查看: 107075|回复: 778

linux中查找php木马程序例子

[复制链接]
  • TA的每日心情
    奋斗
    2024-1-11 16:11
  • 签到天数: 426 天

    [LV.9]以坛为家II

    发表于 2015-10-30 15:14:52 | 显示全部楼层 |阅读模式

    php木马其实就是一个正常的php文件了,只是我们给了权限太高导致这个程序可以执行系统文件或调用系统命令来操作从而得到了服务器相关权限了,这样对方就可以随时拿我们程序或数据库了,下面我来给各位介绍一些查找php木马的方法与基本的安全配置教程吧。

    安装denyhost,防止SSH的暴力破解,具体安装方法参考《denyhost防止SSH暴力破解,保护你的linux》一文。

    另外对系统的一些重要文件添加一个i权限
    比如:

    # chattr +i /etc/passwd
    # chattr +i /etc/group
    # chattr +i /etc/shadow
    # chattr +i /etc/gshadow
    # chattr +i /etc/ssh/sshd_config

    2、nginx和php的安全

    (1)对discuz/attachments,uchome/attachment,ucenter/data/tmp等用户上传的目录,限制php程序。centos+nginx本身应该比较安全的,一般的黑客都是利用webshell来入侵。

    在nginx的配置文件里面添加

    location ~ .*\.(php|php5)?$ {
    …….
    #——————————————
    rewrite ^/(uc\_client|templates|include|plugins|admin|attachments|images|
    forumdata)/.*\.(php|php5)?$ /50x.php last;
    #——————————————-
    }

    (2)修改php.ini

    查找:disable_functions

    找到后在=后面添加

    exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,
    link,leak,fsockopen,proc_open,
    popepassthru,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,
    shell_exec,proc_get_status,popen

    这里都是禁止在php里面执行的函数

    (3)对一些重要而且不需要修改的文件添加i权限,方法同《1、服务器本身的安全》部分

    3、如何查找服务器中的php木马

    PHP木马的最明显特征是使用了eval与base64_decode这个函数,我们可以这么查找

    find /var/www/ -type f -name “*.php” | xargs grep “eval(” |more

    如果发现这样的字样,多半是木马程序

    eval(base64_decode(…………..));

    经验分享:如果你是windows系统我们可以使用像安全狗或webshell插件来扫描服务器php文件上不是有php木马了,我经常使用后者来查找非常的不错,当然安全还是很重要的一步了,就是把一些系统函数给禁止掉了。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-10-30 22:27:21 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-30 23:45:44 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-31 03:07:51 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-31 14:25:18 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-1 14:23:07 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-2 01:10:23 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-2 04:32:29 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-2 17:46:21 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-3 08:02:42 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-22 00:34 , Processed in 0.030308 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部