如何修复被挂木马的php网站WEB安全(共9篇)由网友“江左梅宗主夫人”投稿提供,下面小编为大家整理过的如何修复被挂木马的php网站WEB安全,欢迎阅读与借鉴!
篇1:如何修复被挂木马的php网站WEB安全
有个朋友的网站长期没有人管理,而网站PR=4,于是网站被人攻陷,首页加上了上百条黑链,找我帮忙修复
看到首页密密麻麻的黑链,第一反应就是头大,最简单的办法:格式化后重装系统。但是这个服务器web/数据库都部署在同一台上,数据规模有200多G,当初安装的时候也没有分区,在线迁移数据太麻烦了,只能硬着头皮去修复问题,步骤如下
停掉web服务,免得旧仇未报,又添新恨
找到被挂马的漏洞。一定要找到,不然问题根本解决不了。服务器被挂马主要是两种原因:sql注入或者某种系统性漏洞
sql注入,和代码有关系,不好查。但是只要你的Nginx/PHP不是以root身份运行的,最多被拖库,被挂马的可能性不大
系统性漏洞,这个破坏性很大,但是都会比较著名,马上有人提供解决方案,搜索一下就能找到
所以,找到被挂马的原因是: nginx文件类型错误解析漏洞,这个漏洞很严重,php网站只要支持图片上传都会中招
修补漏洞,nginx文件类型错误解析漏洞 这个漏洞比较好修复,在nginx configure文件里面配置一下即可
搜查木马文件,到代码安装目录执行下面命令
find ./ -iname “*.php” | xargs grep -H -n “eval(base64_decode”
搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉
最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码
清理现场, 去掉首页上的黑链,重启web服务
安全经验
普通服务器被挂马,不用紧张,按上述步骤进行修复
关键服务器(比如部署了用户资金/转账/交易 等服务),被挂马之后,必须要格式化重装,因为webshell的功能实在是非常齐全,攻击者很可能替换掉系统关键程序,比如sshd,nginx等,从此大门打开,随便进出
服务器安装系统要分区,至少应该分 系统区和数据区 两部分,这样重装系统的时候可以不用迁移数据
凡是提供外部端口的服务程序(web server,gate server),一定要用独立的用户运行,千万不要图省事,直接用root
篇2:五个方面何防止网站被挂木马
经常有人会问:我的网站被莫名的挂上木马,怎么能有效的预防网站被挂马?这个问题需要分具体情况来具体分析,
一、如果是自己的服务器
因为你只需要远程登录,就可以管理整个服务器,权限比较大,所以你可以把网站文件夹(除数据库外)其他全设置为只读。
如果是因为webshell的原因,你要先把找到被 入侵后植入的Shell文件,删除后再设置。但是webshell一般都是通过注入或者远程溢出拿到, 所以网站要做好防注入,服务器要勤打补丁,
二、如果是虚拟主机,购买来的空间
这种情况下你可操作的东西比较少,那么只有登陆到管理系统上设置。
现在一般的系统都有这样的功能。你可以去找下。把相关文件设置为只读!或者设置目录权限。设置为只读是防止被入侵比较好的办法之一。
三、程序方面
检查你的程序。方法是在ftp中以时间进行排序,查看你的文件是否被别人改动过,另外就是尽量过滤掉一些比较敏感的字符。
四、一旦出现木马,就需要赶紧找到,一般木马以的形式出现,或者以文件的形式在你的上传图片目录和文件目录中,仔细查找这两个地方。
五、尽快跟空间服务商联系,让他们扫描你的网站,避免一切可疑文件存在。
篇3:检测php网站是否已经被攻破的方法WEB安全
看是否有文件上传操作(POST方法),
IPREMOVED - - [01/Mar/:06:16:48 -0600] “POST/uploads/monthly_10_/view.php HTTP/1.1” 200 36 “-” “Mozilla/5.0” IPREMOVED - - [01/Mar/2013:06:12:58 -0600] “POST/public/style_images/master/profile/blog.php HTTP/1.1” 200 36 “-” “Mozilla/5.0”
nginx默认记录的日志格式为:
access_log logs/access.log
或
access_log logs/access.logcombined;
nginx默认记录日志的位置为:
nginx安装目录/log/
篇4:检测php网站是否已经被攻破的方法WEB安全
这种情况需要有一份干净的代码,这份代码和正在使用的代码进行比较,
检测php网站是否已经被攻破的方法WEB安全
,
例如
diff -r wordpress-clean/ wordpress-compromised/ -x wp-content
上面的例子是比较wordpress-clean/ 和wordpress-comprised/两个目录,并且目录里面的wp-content/子目录不比较
篇5:检测php网站是否已经被攻破的方法WEB安全
看这个目录里面是否有可疑文件,如下脚本查找权限为777的目录是否存在php文件
search_dir=$(pwd)writable_dirs=$(find$search_dir-type d -perm0777)fordirin$writable_dirsdo#echo $dirfind$dir-type f -name'*.php'done
经常在jpg文件中插入php代码,因此在查询这些目录的时候也要查询jpg文件:
find wp-content/uploads -type f -iname'*.jpg'| xargsgrep-i php
注意:-iname 表示文件名不区分大小写 grep -i 也表示不区分大小写
篇6:检测php网站是否已经被攻破的方法WEB安全
经常做的是嵌入iframe标签,因此可以查看网页的源代码,并且搜索其中是否存在iframe标签,可使用如下命令:
grep -i '
exec():命令执行函数
system():同exec()
passthru():同exec()
preg_replace()正则表达式由修饰符“e”修饰的时候,替换字符串在替换之前需要按照php代码执行,这种情况也需要考虑到,这种情况可采用这种以下扫搜:
find . -type f -name'*.php'| xargs egrep -i“preg_replace*\((['|\”])(.).*\2[a-z]*e[^\1]*\1*,“--color
篇8:检测php网站是否已经被攻破的方法WEB安全
是否包含了auto_prepend_file和auto_append_file,使用如下命令
find . -type f -name'\.htaccess'| xargsgrep-i auto_prepend_file find . -type f -name'\.htaccess'| xargsgrep-i auto_append_file
auto_prepend_file的作用是加载当前脚本文件之前,先加载的php脚本 auto_append_file的作用是加载当前脚本文件之后,再加载的php脚本。 如果这么修改了.htaccess文件,那么可以在访问.htaccess目录的php脚本时,加载上自己想要加载的恶意脚本 .
htaccess文件还可以被用来把访问网站的流量劫持到 的网站,
RewriteCond%{HTTP_USER_AGENT}^.*Baiduspider.*$Rewriterule^(.*)$www.hacker.com/muma.php [R=301]
将baidu爬虫的访问重定向到 的网站(包含HTTP_USER_AGENT和http关键字)
RewriteCond%{HTTP_REFERER}^.*baidu.com.*$Rewriterule^(.*)$www.hacker.com/muma.php [R=301]
将来自baidu搜索引擎的流量重定向到 的网站(包含HTTP_REFERER和http关键字) 为了查看网站是否被.htaccess修改导致流量劫持,可以在搜索.htaccess文件的时候采用如下命令:
find . -type f -name'\.htaccess'| xargsgrep-i http; find . -type f -name'\.htaccess'| xargsgrep-i HTTP_USER_AGENT; find . -type f -name'\.htaccess'| xargsgrep-i HTTP_REFERER
篇9:网站服务器一直被挂马的解决办法WEB安全
网站服务器总是被挂木马,网站的头部被注入了大量的js代码,弄了好久终于解决了,问题的根源是在配置lampp服务器的时候,为了简单方便,给网站根目录赋予了777权限,给了 可趁之机。解决问题的思路就是把权限配置合理。具体方法如下:
1.重新安装linux系统:后台选择32bit ubunt
2.下载xampp服务器: wget url
3.解压xampp: tar xvfz xampp-linux-1.7.3a.tar.gz -C /opt
备注:压缩文件用tar -zcvf ***.tar.gz 文件夹
4.启动服务器:/opt/lampp/lampp start
5.设置安全密码:/opt/lampp/lampp security
6.从其他服务器上拷贝备份文件:scp root@ip:文件位置/文件名 文件名(文件已经备份过)
7.恢复etc/extra/httpd-vhosts.conf,
8.修改extra/httpd.conf,最后一行加入httpd-vhosts.conf
9.修改数据库导入数据文件大小的限制:extra/php.ini
10.新建用户:adduser ×××
11.新建用户组:addgroup ×××
12.给已有的用户增加工作组 usermod -G groupname username
13.改变htdocs文件夹下网站所属用户 chown -R user file,以此用户名和密码来登录FTP,
14.改变网站中上传图片目录的权限为777:chmod -R 777 图片文件夹
★ FCKeditor 建立文件夹、上传文件时“.”变“”的突破漏洞预警
★ 后门750字作文
【如何修复被挂木马的php网站WEB安全(共9篇)】相关文章:
PHPzendstrtod函数浮点值拒绝服务漏洞及修复2023-01-14
帝国CMS 留言本多字节漏洞漏洞预警2023-04-15
由于Nginx漏洞导致的入侵事件WEB安全2023-08-17
Windows 服务器的安全防护林2023-06-15
FTP常用软件servu的安全权限处理WEB安全2022-12-10
linux当mysql以root权限登录时提权网站安全2023-08-17
网站服务器如何保障网络安全2023-09-18
计算机专业毕业实习报告2022-08-01
关于DOM xss跨站的一点点经验之谈2023-08-31
医院床位资源管理系统的设计与实现论文2023-10-01