PHP는 Linux 서버 트로이 목마 감지 및 강화 기능을 구현합니다.php 기술

해킹이 자주 일어나는 사이트죠? 좀 개선해서 문제를 근본적으로 해결해 보세요. discuz 트로이목마 같은 프로그램에는 허점이 있기 때문이죠.

다음 사항을 찾아 강화하세요(멤버십 기능 비활성화, 업로드 입구 제공 안 함, 백그라운드 비밀번호 보호, PHP 강화 등을 할 수 있다면 일반적으로 문제가 없습니다).

1. 기능 코드를 기준으로 검색:

php 트로이 목마는 일반적으로
를 포함합니다.

코드 복사 코드는 다음과 같습니다.

또는

코드 복사 코드는 다음과 같습니다.

find /wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /wwwroot/scan.txt

그 결과 눈에 띄는 웹쉘이 많이 발견됐고, 첨부 파일 등 디렉토리에 모두 숨겨져 있었습니다

2. 인터넷에서 PHP 코드를 사용하여 최근 수정된 파일을 검색합니다

scandir.php
내용은 다음과 같습니다.

코드 복사 코드는 다음과 같습니다.

set_time_limit(0);//시간 초과 방지
/**
*
* PHP 디렉토리 스캐닝 모니터링의 향상된 버전
*
* @author lssbing (lssbing#gmail.com)
* @date 2010-1-18
* @license BSD
* @version 1.0
*
사용하기 전에 다음 변수를 수동으로 설정해야 합니다
*
**/
/*====================== 프로그램 구성======================*/
$pass="12345";//비밀번호 설정
$jkdir="."; //모니터링 및 스캔할 디렉터리를 설정합니다. 현재 디렉터리는 '..'입니다. 뒤에 슬래시를 추가하지 마세요. 기본값은 현재 디렉터리
입니다. $logfilename="./m.log";//어디에든 로그를 저장할 경로를 설정합니다.
$exclude=array('data','images');//디렉터리 제외
$danger='eval|cmd|passthru|gzuncompress';//트로이목마 파일인지 판단하기 위해 찾아낼 위험함수 설정
$suffix='php|inc';//검사할 파일의 접미사 설정
/*===================== 구성 끝======================*/

$filename=$_GET['파일이름']
$check=$_GET['확인']
$점프오프=거짓
$url = $_SERVER['PHP_SELF']
$thisfile = end(explode('/',$url))
$jump="{$thisfile}|".implode('|',$exclude)
$jkdir_num=$file_num=$danger_num=0
정의('M_PATH',$jkdir)
정의('M_LOG',$logfilename)
if ($check=='체크')
{
$safearr = 폭발("|",$jump)
$start_time=마이크로타임(true)
safe_check($jkdir)
$end_time=마이크로타임(true)
$total=$end_time-$start_time
$file_num=$file_num-$jkdir_num
$message= "파일 수:".$file_num
$message.= "폴더 수:".$jkdir_num
$message.= "의심스러운 파일 수:".$danger_num
$message.= "실행 시간:".$total
에코 $메시지; }그밖에{
if ($_GET['m']=="del") Delete();//파일 삭제 처리 중
//파일 내용 읽기
if(isset($_GET['readfile'])){
//보기 비밀번호를 출력합니다. 비밀번호가 올바르게 확인되면 파일 내용이 출력됩니다
if(emptyempty($_POST['passchack'])){
echo"

" . " <라벨>패스"
. " " . "" . " " . "" .""
종료
}elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){
$code=file_get_contents($_GET['readfile'])
echo"{$code}< ;/textarea>"; <br> 종료 <br> }그밖에{ <br> 종료 <br> } <br> <br> }그밖에{ <br> Record_md5(M_PATH) <br> if(file_exists(M_LOG)){ <br>           $log = unserialize(file_get_contents(M_LOG)) <br> }그밖에{ <br>           $log = 배열() <br> } <br> <br> if($_GET['savethis']==1){ <br> //현재 파일 md5를 로그 파일에 저장 <br> @unlink(M_LOG) <br> file_put_contents(M_LOG,serialize($file_list)) <br> echo "<a href='scandir.php'>저장되었습니다. 돌아가려면 클릭하세요</a>"; 종료 <br> } <br> if(비어 있음($log)){ <br> echo "아직 생성된 로그 파일이 없습니다. [현재 저장]을 클릭하여 로그 파일을 생성하세요!"; }그밖에{ <br> if($file_list==$log){ <br> echo "이 폴더에는 변경사항이 없습니다!"; }그밖에{ <br> If(count($file_list) > 0 ){ <br> foreach($file_list as $file => $md5){ <br> If(!isset($log[$file])){ <br> echo "새 파일:<a href={$file} target='_blank'>".$file."</a>"." 생성 시간:".date("Y-m-d H:i:s " ,filectime($file))." 수정 시간: ".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank ' >소스 코드</a><a href='?m=del&filename={$file}' target='_blank'>삭제</u></a><br />" ; <br> }그밖에{ <br> If($log[$file] != $md5){ <br> echo "파일 수정:<a href={$file} target='_blank'>".$file."</a>"." 생성 시간:".date("Y-m-d H:i:s" ,filectime($file))." 수정 시간: ".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank' >소스 코드</a><br />"; <br> <br> ​​ unset($log[$file]) <br> }그밖에{ <br>     unset($log[$file]); <br>      } <br>     } <br>     } <br>    } <br>    if(count($log)>0){ <br>     foreach($log를 $file로 => $md5){ <br>     echo "删除文件：<a href={$file} target='_blank'>".$file."</a><br />"; <br>     } <br>    } <br>     } <br> } <br> } <br> } <br>  <br> //计算md5 <br> 함수 Record_md5($jkdir){ <br>         전역 $file_list,$exclude; <br>         if(is_dir($jkdir)){ <br>                 $file=scandir($jkdir); <br>                 foreach($file을 $f로){ <br>                         if($f!='.' && $f!='..' && !in_array($f, $exclude)){ <br>                                 $경로 = $jkdir.'/'.$f; <br>                                 if(is_dir($path)){ <br>                                         Record_md5($경로); <br>                                 }그밖에{ <br>                                         $file_list[$경로]=md5_file($경로); <br>                                 } <br>                         } <br>                 } <br>         } <br> } <br>  <br> function Safe_Check($jkdir)//遍历文件 <br> { <br> 전역 $danger ,$suffix ,$jkdir_num ,$file_num ,$danger_num; <br>  <br> $hand=@dir($jkdir) 또는 die('文件夹不存재') ; <br> while ($file=$hand->read()) <br> { <br>     $filename=$jkdir.'/'.$file; <br>     if (!$jumpoff) { <br>    if(점프($filename))계속; <br>     } <br>     if(@is_dir($filename) && $file != '.' && $file!= '..'&& $file!='./..') <br>     {   $jkdir_num ; <br>     Safe_Check($filename); <br>     } <br>     if (preg_match_all ("/.($suffix)/i",$filename,$out)) <br>     { <br>  <br>    $str=''; <br>    $fp = @fopen($filename,'r')or die('没有权限'); <br>    동안(!feof($fp)) <br>    { <br>    $str .= fgets($fp,1024); <br>    } <br>    fclose($fp); <br>    if( preg_match_all ("/($danger)[ rnt]{0,}([[(])/i",$str,$out)) <br>    { <br>    echo "<font color='green' style='font-size:14px'>可疑文件：{$filename}</font>"." 创建时间：".date("Y-m-d H:i:s ",filectime($filename))." 修改时间：".date("Y-m-d H:i:s",filemtime($filename))." <a href='?readfile={$filename}' target= '_blank'><u>查看代码</u></a> <a href='?m=del&filename=$filename' target='_blank'>删除</u>< /a><br>"; <br />    $위험_번호 ; <br />    } <br />     } <br />     $파일_번호 ; <br /> } <br /> } <br /> 함수 편집()//查看可疑文件 <br /> { <br /> 전역 $파일명; <br /> $filename = str_replace("..","",$filename); <br /> $파일 = $파일이름; <br /> $content = ""; <br /> if(is_file($file)) <br /> { <br />     $fp = fopen($file,"r")or die('没有权限'); <br />$content = fread($fp,filesize($file)) <br /> fclose($fp) <br /> $content = htmlspecialchars($content) <br /> <br /> } <br /> echo "<텍스트 영역 이름='str' 스타일='너비:100%;높이:450px;배경:#cccccc;'>$contentrn
종료(); }
함수 삭제()//파일 삭제
{ 전역 $filename,$pass
if(emptyempty($_POST['passchack'])){
echo"" . " <라벨>패스"
. " " . "" . " " . "" .""
종료
}elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){
(is_file($filename))?($mes=unlink($filename)?'삭제 성공':'삭제 실패 보기 권한'):''; 에코 $메스; 종료(); }그밖에{
echo '비밀번호가 틀렸어요! '; 종료
}
}
함수 점프($file)//파일 건너뛰기
{
글로벌 $jump,$safearr
if($jump != '')
{
foreach($safearr를 $v로)
{
If($v=='') 계속
If( eregi($v,$file) )는 true를 반환합니다.
}
}
거짓을 반환
}
?> [파일 변경사항 보기]|[현재 파일 지문 저장] |[의심스러운 파일 검사]




실행 후 최근 수정된 파일을 확인할 수 있어 참여의 가치가 높습니다




3. php.ini를 수정하고 다음 기능을 제한합니다

코드 복사

코드는 다음과 같습니다.

비활성화_기능 = phpinfo,passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocke,popen,proc_close, 컬_exec,curl_multi_exec,parse_ini_file,show_source,dl,escapeshellarg,escapeshellcmd

4. nginx.conf를 수정하고 일부 디렉토리에서 php 파일 실행을 제한합니다

코드 복사

코드는 다음과 같습니다.

서버
{
    들어보세요       80;
    서버 이름  www.***.com;
    색인   index.htm index.html index.php;
    루트 /wwwroot/;
    
 
      
    ^([^.]*)/topic-(. ).html$ $1/portal.php?mod=topic&topic=$2 마지막으로 다시 작성하세요.
    ^([^.]*)/article-([0-9] )-([0-9] ).html$ $1/portal.php?mod=view&aid=$2&page=$3 마지막으로 다시 작성하세요.
    ^([^.]*)/forum-(w )-([0-9] ).html$ $1/forum.php?mod=forumdisplay&fid=$2&page=$3 마지막으로 다시 작성하세요.
    ^([^.]*)/thread-([0-9] )-([0-9] )-([0-9] ).html$ $1/forum.php?mod=viewthread&tid=$2&extra 다시 작성 =page=$4&page=$3 마지막;
    ^([^.]*)/group-([0-9] )-([0-9] ).html$ $1/forum.php?mod=group&fid=$2&page=$3 마지막으로 다시 작성하세요.
    ^([^.]*)/space-(username|uid)-(. ).html$ $1/home.php?mod=space&$2=$3 last;를 다시 작성하세요.
    ^([^.]*)/([a-z] )-(. ).html$ $1/$2.php?rewrite=$3 마지막으로 다시 작성;
    ^([^.]*)/topic-(. ).html$ $1/portal.php?mod=topic&topic=$2 마지막으로 다시 작성하세요.
        
 
        위치 ~ ^/images/.*.(php|php5)$
                {
              모두 거부하다;
                }
 
        위치 ~ ^/static/.*.(php|php5)$
                {
               모두 거부하다;
                }
 
        위치 ~* ^/data/(attachment|avatar)/.*.(php|php5)$
            {
                모두 거부하다;
            }
 
    위치 ~ .*.(php|php5)?$
    {      
      fastcgi_pass 127.0.0.1:9000;
      fastcgi_index index.php;
      fcgi.conf를 포함합니다;
    }
    
        
 
error_page  400 /404.html;
error_page  403 /404.html;
error_page  404 /404.html;
error_page  405 /404.html;
error_page  408 /404.html;
error_page  410 /404.html;
error_page  411 /404.html;
error_page  412 /404.html;
error_page  413 /404.html;
error_page  414 /404.html;
error_page  415 /404.html;
error_page  500 /404.html;
error_page  501 /404.html;
error_page  502 /404.html;
error_page  503 /404.html;
error_page  506 /404.html;
 
 
log_format  acclog    "$remote_addr $request_time $http_x_readtime [$time_local] "$request_method http://$host$request_uri" $status $body_bytes_sent "$http_referer" "$http_user_agent"";
        access_log  /logs/access.log  acclog;
}

즐거운 마음으로

复主代码 代码如下:

위치 ~ ^/images/.*.(php|php5)$
{
  모두 거부하다;
}

현재 제조 업체는

复主代码 代码如下:

위치 ~ .*.(php|php5)?$
{      
  fastcgi_pass 127.0.0.1:9000;
  fastcgi_index index.php;
  fcgi.conf를 포함합니다.
}

전면에는 否则限가 제조되지 않았습니다.