一、Web Server(以Nginx为例)
1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)
2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)
3、path_info漏洞修正:
在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1
}
if (!-e $php_url.php) {
return 404
}
4、重新编译Web Server,隐藏Server信息
5、打开相关级别的日志,追踪可疑请求,请求者IP等相关信息。
二.改变目录和文件属性,禁止写入
find -type f -name \*.php -exec chmod 444 {} \
find -type d -exec chmod 555 {} \
注:当然要排除上传目录、缓存目录等;
同时最好禁止chmod函数,攻击者可通过chmod来修改文件只读属性再修改文件!
三.PHP配置
修改php.ini配置文件,禁用危险函数:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL数据库账号安全:
禁止mysql用户外部链接,程序不要使用root账号,最好单独建立一个有限权限的账号专门用于Web程序。
五.查杀木马、后门
grep -r –include=*.php ‘[^a-z]eval($_POST’ . >grep.txt
grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\])’ . >grep.txt
把搜索结果写入文件,下载下来慢慢分析,其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找,上传图片肯定有也捆绑的,来次大清洗。
查找近2天被修改过的文件:
find -mtime -2 -type f -name \*.php
注意:攻击者可能会通过touch函数来修改文件时间属性来避过这种查找,所以touch必须禁止
六.及时给Linux系统和Web程序打补丁,堵上漏洞
手动删除肯定是不行,你关闭了端口,木马分分钟就又打开了,它是免杀的也无所谓的,
你可以访问腾讯电脑管家官网,下载安装一个电脑管家
使用电脑管家工具箱中的顽固木马克星来查杀一下,电脑管家的顽固木马克星专门为
普通杀软无法清除或者根本检测不到的恶意威胁而设计,采用了非常强力的查杀引
擎,所以可以清除各种顽固的木马病毒
木马病毒.建议下载安装木马专杀工具:
1. 木马克星iparmor 5.47 build 0714 简体版 。
木马克星乃本站原创反黑客-杀木马工具,可以查杀8122种国际木马,1053种密码偷窃木马。
2. 木马克星(iparmor) V5.47 Build 0714 。
木马克星是专门针对国产木马的软件,本软件是动态监视。
3. 木马克星 5.47 build 0710 通过对179种黑客程序的跟踪观察,经过对6种经典木马源代码的详细分析,终于找到了黑客。
4. iparmor 木马克星 简体中文 5.47 Build 0714 采用纯动态监视网络连接技术,可以有效查杀目前绝大多数黑客程序 。
5. 木马清除大师BeatTrojan V2.35 Build 0531 BeatTrojan是Lofocus安全实验室为网络游戏爱好者。
6. Anti-Hacker&Trojan Expert(反黑客木马专家) 2003 Build 1.6 反黑客专家能智能检测和清除超过12000多种黑客程序和木马程序。
7. 木马分析专家 2005 V6.73 木马分析专家能自动分析、终止可疑进程、窗体类型及木
8. 木马终结者 V2.7 特洛伊木马病毒一种破坏力十分强的黑客病毒。
9. 金山木马专杀 下载版
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)