Linux服務器 php木馬排查及增強安全措施

2024-08-27 23:59:01

字體：大中小

來源：轉載

供稿：網友

本文我們來介紹一下用php排查linux服務器木馬及加增安全防護,開源的程序如discuz x漏洞比較明顯,很容易上傳websehll,要把漏洞補到最小才能安全使用.

網站頻繁被掛馬?做一些改進,基本上能把這個問題解決,因為discuz x等程序存在漏洞,被上傳了websehll,每次被刪除過段時間又出來了,最終查到所有的木馬.

從以下幾個方面查找并加強,如果能不開啟會員功能,不給任何上傳入口,保護好后臺密碼,加固好PHP,一般就沒什么問題了.

1.根據特征碼查找,php木馬一般含有如下代碼:

<?php eval($_POST[cmd]);?>或者:

<?php assert($_POST[cmd]);?>

find /wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /wwwroot/scan.txt

結果就查出很多明顯的webshell,并且發現都藏在attachment等目錄下.

2.利用網上的一個php代碼,搜索最近被修改的文件 scandir.php 代碼如下:

<?php

set_time_limit(0);//防止超時

/**

*

* php目錄掃描監控增強版

*

* @author lssbing (lssbing#gmail.com)

* @date 2010-1-18

* @license BSD

* @version 1.0

*

下面幾個變量使用前需要手動設置

*

**/

/*===================== 程序配置 =====================*/

$pass="12345";//設置密碼

$jkdir="."; //設置監控掃描的目錄，當前目錄為'.'，上一級目錄為'..'，也可以設置絕對路徑，后面不要加斜杠，默認為當前目錄

$logfilename="./m.log";//設置存儲log的路徑，可以放置在任意位置

$exclude=array('data','images');//排除目錄

$danger='eval|cmd|passthru|gzuncompress';//設置要查找的危險的函數以確定是否木馬文件

$suffix='php|inc';//設置要掃描文件的后綴

/*===================== 配置結束 =====================*/

$filename=$_GET['filename'];

$check=$_GET['check'];

$jumpoff=false;

$url = $_SERVER['PHP_SELF'];

$thisfile = end(explode('/',$url));

$jump="{$thisfile}|".implode('|',$exclude);

$jkdir_num=$file_num=$danger_num=0;

define('M_PATH',$jkdir);

define('M_LOG',$logfilename);

if ($check=='check')

{

$safearr = explode("|",$jump);

$start_time=microtime(true);

safe_check($jkdir);

$end_time=microtime(true);

$total=$end_time-$start_time;

$file_num=$file_num-$jkdir_num;

$message= " 文件數:".$file_num;

$message.= " 文件夾數：".$jkdir_num;

$message.= " 可疑文件數：".$danger_num;

$message.= " 執行時間：".$total;

echo $message;

}else{

if ($_GET['m']=="del") Delete();//處理文件刪除

//讀取文件內容

if(isset($_GET['readfile'])){

//輸出查看密碼，密碼校驗正確以后輸出文件內容

if(emptyempty($_POST['passchack'])){

   echo"<form id="form1" name="form1" method="post">"

    . " <label>pass"

    . " <input type="text" name="passchack" />"

    . " </label>"

    . " <input type="submit" name="Submit" value="提交" />"

    . "</form>"

   ."";

   exit;

}elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){

   $code=file_get_contents($_GET['readfile']);

   echo"<textarea name="code" cols="150" rows="30" id="code" style='width:100%;height:450px;background:#cccccc;'>{$code}</textarea>";

   exit;

}else{

   exit;

}

}else{

record_md5(M_PATH);

if(file_exists(M_LOG)){

        $log = unserialize(file_get_contents(M_LOG));

}else{

        $log = array();

}

if($_GET['savethis']==1){

//保存當前文件md5到日志文件

@unlink(M_LOG);

file_put_contents(M_LOG,serialize($file_list));

echo "<a href='scandir.php'>保存成功！點擊返回</a>";

exit;

}

if(emptyempty($log)){

echo "當前還沒有創建日志文件！點擊[保存當前]創建日志文件！";

}else{

if($file_list==$log){

   echo "本文件夾沒有做過任何改動！";

}else{

   if(count($file_list) > 0 ){

    foreach($file_list as $file => $md5){

    if(!isset($log[$file])){

     echo "新增文件：<a href={$file} target='_blank'>".$file."</a>"." 創建時間：".date("Y-m-d H:i:s",filectime($file))." 修改時間：".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank'>源碼</a><a href='?m=del&filename={$file}' target='_blank'>刪除</u></a><br />";

    }else{

     if($log[$file] != $md5){

     echo "修改文件：<a href={$file} target='_blank'>".$file."</a>"." 創建時間：".date("Y-m-d H:i:s",filectime($file))." 修改時間：".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank'>源碼</a><br />";

     unset($log[$file]);

     }else{

     unset($log[$file]);

     }

    }

    }

   }

   if(count($log)>0){

    foreach($log as $file => $md5){

    echo "刪除文件：<a href={$file} target='_blank'>".$file."</a><br />";

    }

   }

    }

}

}

}

//計算md5

function record_md5($jkdir){

        global $file_list,$exclude;

        if(is_dir($jkdir)){

                $file=scandir($jkdir);

                foreach($file as $f){

                        if($f!='.' && $f!='..' && !in_array($f, $exclude)){

                                $path = $jkdir.'/'.$f;

                                if(is_dir($path)){

                                        record_md5($path);

                                }else{

                                        $file_list[$path]=md5_file($path);

                                }

                        }

                }

        }

}

function Safe_Check($jkdir)//遍歷文件

{

global $danger ,$suffix ,$jkdir_num ,$file_num ,$danger_num;

$hand=@dir($jkdir) or die('文件夾不存在') ;

while ($file=$hand->read())

{

    $filename=$jkdir.'/'.$file;

    if (!$jumpoff) {

   if(Jump($filename))continue;

    }

    if(@is_dir($filename) && $file != '.' && $file!= '..'&& $file!='./..')

    {   $jkdir_num++;

    Safe_Check($filename);

    }

    if (preg_match_all ("/.($suffix)/i",$filename,$out))

    {

   $str='';

   $fp = @fopen($filename,'r')or die('沒有權限');

   while(!feof($fp))

   {

   $str .= fgets($fp,1024);

   }

   fclose($fp);

   if( preg_match_all ("/($danger)[ rnt]{0,}([[(])/i",$str,$out))

   {

   echo "<font color='green' style='font-size:14px'>可疑文件：{$filename}</font>"." 創建時間：".date("Y-m-d H:i:s",filectime($filename))." 修改時間：".date("Y-m-d H:i:s",filemtime($filename))." <a href='?readfile={$filename}' target='_blank'><u>查看代碼</u></a> <a href='?m=del&filename=$filename' target='_blank'>刪除</u></a><br>";

   $danger_num++;

   }

    }

    $file_num++;

}

}

function Edit()//查看可疑文件

{

global $filename;

$filename = str_replace("..","",$filename);

$file = $filename;

$content = "";

if(is_file($file))

{

    $fp = fopen($file,"r")or die('沒有權限');

    $content = fread($fp,filesize($file));

    fclose($fp);

    $content = htmlspecialchars($content);

}

echo "<textarea name='str' style='width:100%;height:450px;background:#cccccc;'>$content</textarea>rn";

exit();

}

function Delete()//刪除文件

{ global $filename,$pass;

if(emptyempty($_POST['passchack'])){

    echo"<form id="form1" name="form1" method="post">"

   . " <label>pass"

   . " <input type="text" name="passchack" />"

   . " </label>"

   . " <input type="submit" name="Submit" value="提交" />"

   . "</form>"  //Vevb.com

    ."";

    exit;

}elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){

   (is_file($filename))?($mes=unlink($filename)?'刪除成功':'刪除失敗查看權限'):'';

   echo $mes;

   exit();

}else{

   echo '密碼錯誤！';

   exit;

}

}

function Jump($file)//跳過文件

{

global $jump,$safearr;

if($jump != '')

{

    foreach($safearr as $v)

    {

   if($v=='') continue;

   if( eregi($v,$file) ) return true ;

    }

}

return false;

}

?>

<a href="scandir.php">[查看文件改動]</a>|<a href="scandir.php?savethis=1">[保存當前文件指紋]</a>|<a href="scandir.php?check=check">[掃描可疑文件]</a>

執行后能看到最近被修改的文件,具有參加價值.

3.修改php.ini,限制以下函數:

disable_functions = phpinfo,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocke,popen,proc_close,curl_exec,curl_multi_exec,parse_ini_file,show_source,dl,escapeshellarg,escapeshellcmd

4.修改nginx.conf,限制一些目錄執行php文件,代碼如下:

server

{

    listen       80;

    server_name  www.***.com;

    index   index.htm index.html index.php;

    root  /wwwroot/;

    rewrite ^([^.]*)/topic-(.+).html$ $1/portal.php?mod=topic&topic=$2 last;

    rewrite ^([^.]*)/article-([0-9]+)-([0-9]+).html$ $1/portal.php?mod=view&aid=$2&page=$3 last;

    rewrite ^([^.]*)/forum-(w+)-([0-9]+).html$ $1/forum.php?mod=forumdisplay&fid=$2&page=$3 last;

    rewrite ^([^.]*)/thread-([0-9]+)-([0-9]+)-([0-9]+).html$ $1/forum.php?mod=viewthread&tid=$2&extra=page%3D$4&page=$3 last;

    rewrite ^([^.]*)/group-([0-9]+)-([0-9]+).html$ $1/forum.php?mod=group&fid=$2&page=$3 last;

    rewrite ^([^.]*)/space-(username|uid)-(.+).html$ $1/home.php?mod=space&$2=$3 last;

    rewrite ^([^.]*)/([a-z]+)-(.+).html$ $1/$2.php?rewrite=$3 last;

    rewrite ^([^.]*)/topic-(.+).html$ $1/portal.php?mod=topic&topic=$2 last;



        location ~ ^/images/.*.(php|php5)$

                {

              deny all;

                }

        location ~ ^/static/.*.(php|php5)$

                {

               deny all;

                }

        location ~* ^/data/(attachment|avatar)/.*.(php|php5)$

            {

                deny all;

            }

    location ~ .*.(php|php5)?$

    {

      fastcgi_pass  127.0.0.1:9000;

      fastcgi_index index.php;

      include fcgi.conf;

    }





error_page  400 /404.html;

error_page  403 /404.html;

error_page  404 /404.html;

error_page  405 /404.html;

error_page  408 /404.html;

error_page  410 /404.html;

error_page  411 /404.html;

error_page  412 /404.html;

error_page  413 /404.html;

error_page  414 /404.html;

error_page  415 /404.html;

error_page  500 /404.html;

error_page  501 /404.html;

error_page  502 /404.html;

error_page  503 /404.html;

error_page  506 /404.html;

//Vevb.com

log_format  acclog    "$remote_addr $request_time $http_x_readtime [$time_local] "$request_method http://$host$request_uri" $status $body_bytes_sent "$http_referer" "$http_user_agent"";

        access_log  /logs/access.log  acclog;

}