Linux服务器 php木马排查及增强安全措施

服务器

Linux服务器 php木马排查及增强安全措施

2019/10/10/17:46:04 阅读：1823 来源：谷歌SEO算法标签：搜索引擎

本文我们来介绍一下用php排查linux服务器木马及加增安全防护,开源的程序如discuz x漏洞比较明显,很容易上传websehll,要把漏洞补到最小才能安全使用.

网站频繁被挂马?做一些改进,基本上能把这个问题解决,因为discuz x等程序存在漏洞,被上传了websehll,每次被删除过段时间又出来了,最终查到所有的木马.

从以下几个方面查找并加强,如果能不开启会员功能,不给任何上传入口,保护好后台密码,加固好PHP,一般就没什么问题了.

1.根据特征码查找,php木马一般含有如下代码:

<?php eval($_POST[cmd]);?>或者:

<?phpassert($_POST[cmd]);?>
find/wwwroot/*-typef-name"*.php"|xargsgrep"eval(">/wwwroot/scan.txt

结果就查出很多明显的webshell,并且发现都藏在attachment等目录下.

2.利用网上的一个php代码,搜索最近被修改的文件 scandir.php 代码如下:

<?php
set_time_limit(0);//防止超时
/**
*
*php目录扫描监控增强版
*
*@authorlssbing(lssbing#gmail.com)
*@date2010-1-18
*@licenseBSD
*@version1.0
*
下面几个变量使用前需要手动设置
*
**/
/*=====================程序配置=====================*/
$pass="12345";//设置密码
$jkdir=".";//设置监控扫描的目录，当前目录为'.'，上一级目录为'..'，也可以设置绝对路径，后面不要加斜杠，默认为当前目录
$logfilename="./m.log";//设置存储log的路径，可以放置在任意位置
$exclude=array('data','images');//排除目录
$danger='eval|cmd|passthru|gzuncompress';//设置要查找的危险的函数以确定是否木马文件
$suffix='php|inc';//设置要扫描文件的后缀
/*=====================配置结束=====================*/
$filename=$_GET['filename'];
$check=$_GET['check'];
$jumpoff=false;
$url=$_SERVER['PHP_SELF'];
$thisfile=end(explode('/',$url));
$jump="{$thisfile}|".implode('|',$exclude);
$jkdir_num=$file_num=$danger_num=0;
define('M_PATH',$jkdir);
define('M_LOG',$logfilename);
if($check=='check')
{
$safearr=explode("|",$jump);
$start_time=microtime(true);
safe_check($jkdir);
$end_time=microtime(true);
$total=$end_time-$start_time;
$file_num=$file_num-$jkdir_num;
$message="文件数:".$file_num;
$message.="文件夹数：".$jkdir_num;
$message.="可疑文件数：".$danger_num;
$message.="执行时间：".$total;
echo$message;
}else{
if($_GET['m']=="del")Delete();//处理文件删除
//读取文件内容
if(isset($_GET['readfile'])){
//输出查看密码，密码校验正确以后输出文件内容
if(emptyempty($_POST['passchack'])){
echo"<formid="form1"name="form1"method="post">"
."<label>pass"
."<inputtype="text"name="passchack"/>"
."</label>"
."<inputtype="submit"name="Submit"value="提交"/>"
."</form>"
."";
exit;
}elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){
$code=file_get_contents($_GET['readfile']);
echo"<textareaname="code"cols="150"rows="30"id="code"style='width:100%;height:450px;background:#cccccc;'>{$code}</textarea>";
exit;
}else{
exit;
}
}else{
record_md5(M_PATH);
if(file_exists(M_LOG)){
$log=unserialize(file_get_contents(M_LOG));
}else{
$log=array();
}
if($_GET['savethis']==1){
//保存当前文件md5到日志文件
@unlink(M_LOG);
file_put_contents(M_LOG,serialize($file_list));
echo"<ahref='scandir.php'>保存成功！点击返回</a>";
exit;
}
if(emptyempty($log)){
echo"当前还没有创建日志文件！点击[保存当前]创建日志文件！";
}else{
if($file_list==$log){
echo"本文件夹没有做过任何改动！";
}else{
if(count($file_list)>0){
foreach($file_listas$file=>$md5){
if(!isset($log[$file])){
echo"新增文件：<ahref={$file}target='_blank'>".$file."</a>"."创建时间：".date("Y-m-dH:i:s",filectime($file))."修改时间：".date("Y-m-dH:i:s",filemtime($file))."<ahref=?readfile={$file}target='_blank'>源码</a><ahref='?m=del&filename={$file}'target='_blank'>删除</u></a><br/>";
}else{
if($log[$file]!=$md5){
echo"修改文件：<ahref={$file}target='_blank'>".$file."</a>"."创建时间：".date("Y-m-dH:i:s",filectime($file))."修改时间：".date("Y-m-dH:i:s",filemtime($file))."<ahref=?readfile={$file}target='_blank'>源码</a><br/>";
unset($log[$file]);
}else{
unset($log[$file]);
}
}
}
}
if(count($log)>0){
foreach($logas$file=>$md5){
echo"删除文件：<ahref={$file}target='_blank'>".$file."</a><br/>";
}
}
}
}
}
}
//计算md5
functionrecord_md5($jkdir){
global$file_list,$exclude;
if(is_dir($jkdir)){
$file=scandir($jkdir);
foreach($fileas$f){
if($f!='.'&&$f!='..'&&!in_array($f,$exclude)){
$path=$jkdir.'/'.$f;
if(is_dir($path)){
record_md5($path);
}else{
$file_list[$path]=md5_file($path);
}
}
}
}
}
functionSafe_Check($jkdir)//遍历文件
{
global$danger,$suffix,$jkdir_num,$file_num,$danger_num;
$hand=@dir($jkdir)ordie('文件夹不存在');
while($file=$hand->read())
{
$filename=$jkdir.'/'.$file;
if(!$jumpoff){
if(Jump($filename))continue;
}
if(@is_dir($filename)&&$file!='.'&&$file!='..'&&$file!='./..')
{$jkdir_num++;
Safe_Check($filename);
}
if(preg_match_all("/.($suffix)/i",$filename,$out))
{
$str='';
$fp=@fopen($filename,'r')ordie('没有权限');
while(!feof($fp))
{
$str.=fgets($fp,1024);
}
fclose($fp);
if(preg_match_all("/($danger)[rnt]{0,}([[(])/i",$str,$out))
{
echo"<fontcolor='green'style='font-size:14px'>可疑文件：{$filename}</font>"."创建时间：".date("Y-m-dH:i:s",filectime($filename))."修改时间：".date("Y-m-dH:i:s",filemtime($filename))."<ahref='?readfile={$filename}'target='_blank'><u>查看代码</u></a><ahref='?m=del&filename=$filename'target='_blank'>删除</u></a><br>";
$danger_num++;
}
}
$file_num++;
}
}
functionEdit()//查看可疑文件
{
global$filename;
$filename=str_replace("..","",$filename);
$file=$filename;
$content="";
if(is_file($file))
{
$fp=fopen($file,"r")ordie('没有权限');
$content=fread($fp,filesize($file));
fclose($fp);
$content=htmlspecialchars($content);
}
echo"<textareaname='str'style='width:100%;height:450px;background:#cccccc;'>$content</textarea>rn";
exit();
}
functionDelete()//删除文件
{global$filename,$pass;
if(emptyempty($_POST['passchack'])){
echo"<formid="form1"name="form1"method="post">"
."<label>pass"
."<inputtype="text"name="passchack"/>"
."</label>"
."<inputtype="submit"name="Submit"value="提交"/>"
."</form>"//phpfensi.com
."";
exit;
}elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){
(is_file($filename))?($mes=unlink($filename)?'删除成功':'删除失败查看权限'):'';
echo$mes;
exit();
}else{
echo'密码错误！';
exit;
}
}
functionJump($file)//跳过文件
{
global$jump,$safearr;
if($jump!='')
{
foreach($safearras$v)
{
if($v=='')continue;
if(eregi($v,$file))returntrue;
}
}
returnfalse;
}
?>
<a href="scandir.php">[查看文件改动]</a>|<a href="scandir.php?savethis=1">[保存当前文件指纹]</a>|<a href="scandir.php?check=check">[扫描可疑文件]</a>

执行后能看到最近被修改的文件,具有参加价值.

3.修改php.ini,限制以下函数:

disable_functions=phpinfo,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocke,popen,proc_close,curl_exec,curl_multi_exec,parse_ini_file,show_source,dl,escapeshellarg,escapeshellcmd

4.修改nginx.conf,限制一些目录执行php文件,代码如下:

server
{
listen80;
server_namewww.***.com;
indexindex.htmindex.htmlindex.php;
root/wwwroot/;
rewrite^([^.]*)/topic-(.+).html$$1/portal.php?mod=topic&topic=$2last;
rewrite^([^.]*)/article-([0-9]+)-([0-9]+).html$$1/portal.php?mod=view&aid=$2&page=$3last;
rewrite^([^.]*)/forum-(w+)-([0-9]+).html$$1/forum.php?mod=forumdisplay&fid=$2&page=$3last;
rewrite^([^.]*)/thread-([0-9]+)-([0-9]+)-([0-9]+).html$$1/forum.php?mod=viewthread&tid=$2&extra=page%3D$4&page=$3last;
rewrite^([^.]*)/group-([0-9]+)-([0-9]+).html$$1/forum.php?mod=group&fid=$2&page=$3last;
rewrite^([^.]*)/space-(username|uid)-(.+).html$$1/home.php?mod=space&$2=$3last;
rewrite^([^.]*)/([a-z]+)-(.+).html$$1/$2.php?rewrite=$3last;
rewrite^([^.]*)/topic-(.+).html$$1/portal.php?mod=topic&topic=$2last;
location~^/images/.*.(php|php5)$
{
denyall;
}
location~^/static/.*.(php|php5)$
{
denyall;
}
location~*^/data/(attachment|avatar)/.*.(php|php5)$
{
denyall;
}
location~.*.(php|php5)?$
{
fastcgi_pass127.0.0.1:9000;
fastcgi_indexindex.php;
includefcgi.conf;
}
error_page400/404.html;
error_page403/404.html;
error_page404/404.html;
error_page405/404.html;
error_page408/404.html;
error_page410/404.html;
error_page411/404.html;
error_page412/404.html;
error_page413/404.html;
error_page414/404.html;
error_page415/404.html;
error_page500/404.html;
error_page501/404.html;
error_page502/404.html;
error_page503/404.html;
error_page506/404.html;
//phpfensi.com
log_formatacclog"$remote_addr$request_time$http_x_readtime[$time_local]"$request_methodhttp://$host$request_uri"$status$body_bytes_sent"$http_referer""$http_user_agent"";
access_log/logs/access.logacclog;
}