linux掛馬
Ⅰ linux伺服器中木馬怎麼處理
以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法:
一、Web Server(以Nginx為例)
1、為防止跨站感染,將虛擬主機目錄隔離(可以直接利用fpm建立多個程序池達到隔離效果)
2、上傳目錄、include類的庫文件目錄要禁止代碼執行(Nginx正則過濾)
3、path_info漏洞修正:
在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server,隱藏Server信息
5、打開相關級別的日誌,追蹤可疑請求,請求者IP等相關信息。
二.改變目錄和文件屬性,禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註:當然要排除上傳目錄、緩存目錄等;
同時最好禁止chmod函數,攻擊者可通過chmod來修改文件只讀屬性再修改文件!
三.PHP配置
修改php.ini配置文件,禁用危險函數:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.Mysql資料庫賬號安全:
禁止mysql用戶外部鏈接,程序不要使用root賬號,最好單獨建立一個有限許可權的賬號專門用於Web程序。
五.查殺木馬、後門
grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件,下載下來慢慢分析,其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找,上傳圖片肯定有也捆綁的,來次大清洗。
查找近2天被修改過的文件:
find -mtime -2 -type f -name \*.php
注意:攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找,所以touch必須禁止
六.及時給Linux系統和Web程序打補丁,堵上漏洞
Ⅱ 查出Linux下網站哪些文件被掛馬的辦法
重點是template目錄下的模板文件被讓寫入..設置下這個目錄的許可權吧
Ⅲ 求助:linux伺服器遭掛馬,如何對安全進行排查
常用的免費殺毒軟體:
1、ClamAV 殺毒
ClamAV 殺毒是Linux平台最受歡迎的殺毒軟體,現在正在用,非常好用,比如說你的ls命令被修改了,執行一次ls命令就啟動一次病毒都可以掃描出來。可以把病毒掃描結果輸出到日誌,clamscan -r -i / -l /tmp/clamscan.log 具體安裝很多,網路上都有。
2、AVG 免費版殺毒
現在有超過10億用戶使用AVG殺毒,同樣是Linux機器中不錯的殺毒專家,免費版提供的特性比高級版要少。AVG目前還不支持圖形界面。提供防病毒和防間諜工具,AVG運行速度很快,佔用系統資源很少,支持主流Linux版本
Ⅳ 公司一台Linux伺服器頻繁被掛馬,求解決方法
安裝LINUX殺毒軟體,重新更換OA埠,我們這里不允許企業或者公司自建網站伺服器,網站都是購買空間或者租用,託管伺服器,,伺服器根本不在自己公司,就減少了中毒,黑客的事情
公司也就留個什麼OA伺服器啊這些,換個埠,改密碼,勤殺毒
Ⅳ 伺服器被掛馬怎麼查詢文件變動
在程序中很容易找到掛馬的代碼,直接刪除,或則將你沒有傳伺服器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。
Ⅵ linux web伺服器被掛馬很久了怎麼查找木馬文件
可以打開騰訊智慧安全的頁面
然後在產品裡面找到御點終端全系統
接著在裡面選擇申請使用騰訊御點,再去用病毒查殺功能殺毒
Ⅶ 黑客專業名詞「提權」,「WEBSHELL」「肉雞」「暴庫」「掛馬」這幾個詞語是什麼意思啊
你上黑客查一下!
Ⅷ linux下所有html被加入iframe掛馬
oschina所說是源自於sql inj ,你的數據不一定被更改,但是通過sql inj可以獲得足夠的許可權對你的html文件作出各種更改
建議更改你的伺服器部署方式,將服務放入rootjail的sandbox中,並且嚴格控制許可權
Ⅸ 如何查linux的nginx是否被掛馬
linux系統相對比windows安全,但是有些程序上的不安全行為。不管你是什麼系統,一樣也會存在危險因素,在這里,我們總結出了linux系統下的一些常見排除木馬和加固系統安全性的方法。
1、改變目錄和文件屬性,禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註:當然要排除上傳目錄、緩存目錄等;
同時最好禁止chmod函數,攻擊者可通過chmod來修改文件只讀屬性再修改文件
2、php的危險配置
禁用一些危險的php函數,例如:
passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,popen,dl,
syslog,show_source
3、nginx安全方面的配置
限制一些目錄執行php文件
location~^/images/.*\.(php|php5)$
{
denyall;
}
location~^/static/.*\.(php|php5)$
{
denyall;
}
location~*^/data/(attachment|avatar)/.*\.(php|php5)$
{
denyall;
}
註:這些目錄的限制必須寫在
location~.*\.(php|php5)$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
的前面,否則限制不生效!
path_info漏洞修正:
在通用fcgi.conf頂部加入
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、linux系統下查找php的相關木馬
php木馬一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>
find /data/wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /root/scan.txt
另外也有上傳任意文件的後門,可以用上面的方法查找所有包括"move_uploaded_file"的文件.
還有常見的一句話後門:
grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > grep.txt
把搜索結果寫入文件,下載下來慢慢分析,其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找,上傳圖片肯定有也捆綁的,來次大清洗。
5、查找近3天被修改過的文件:
find /data/www -mtime -3 -type f -name \*.php
注意:攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找,所以touch必須禁止
6、查找所有圖片文件
查找所有圖片文件gif,jpg.有些圖片內容里被添加了php後門腳本.有些實際是一個php文件,將擴展名改成了gif了.正常查看的情況下也可以看到顯示的圖片內容的.這一點很難發現.
曾給客戶處理過這類的木馬後門的.發現在php腳本里include一個圖片文件,經過查看圖片文件源代碼,發現竟然是php腳本.
好了。安全加固你的php環境是非常重要的運維工作,大家還有什麼其他加固安全的好方法,可以拿過來分享一下。
提示:如果上面顯示空白或者頁面排版混亂、內容顯示不完整等影響閱讀的問題,請點擊這兒瀏覽原文
返回腳本百事通首頁 如果您喜歡腳本編程技術,歡迎加入QQ群:246889341,在群里認識新朋友和交流技術^_^
Linux下查找後門程序
每個進程都會有一個PID,而每一個PID都會在/proc目錄下有一個相應的目錄,這是Linux(當前內核2.6)系統的實現。
一般後門程序,在ps等進程查看工具里找不到,因為這些常用工具甚至系統庫在系統被入侵之後基本上已經被動過手腳(網上流傳著大量的rootkit。假如是內核級的木馬,那麼該方法就無效了)。
因為修改系統內核相對復雜(假如內核被修改過,或者是內核級的木馬,就更難發現了),所以在/proc下,基本上還都可以找到木馬的痕跡。
思路:
在/proc中存在的進程ID,在 ps 中查看不到(被隱藏),必有問題。
Bash Shell:
#!/bin/bash
str_pids="`ps -A | awk '{print $1}'`"
for i in /proc/[[:digit:]]*; do
if echo "$str_pids" | grep -qs `basename "$i"`; then
:
else
echo "Rootkit's PID: $(basename "$i")"
fi
done
討論:
檢查系統(Linux)是不是被黑,其復雜程度主要取決於入侵者「掃尾工作」是否做得充足。對於一次做足功課的入侵來說,要想剔除干凈,將是一件分精密、痛苦的事情,通常這種情況,需要用專業的第三方的工具(有開源的,比如tripwire,比如aide)來做這件事情。
而專業的工具,部署、使用相對比較麻煩,也並非所有的管理員都能熟練使用。
實際上Linux系統本身已經提供了一套「校驗」機制,在檢查系統上的程序沒有被修改。比如rpm包管理系統提供的 -V 功能:
rpm -Va
即可校驗系統上所有的包,輸出與安裝時被修改過的文件及相關信息。但是rpm系統也可能被破壞了,比如被修改過。
Ⅹ dedecms5.6被掛馬了,linux系統,求各文件夾的許可權設置,讓對方就算知道漏洞都不能上傳木馬
上傳漏洞一般都傳到了 upload目錄,就是你圖片呀什麼的上傳到的那個目錄,你設置那個目錄不允許執行腳本就能在一定程度上防範此類漏洞了.
可惜你是linux系統,如果你是Windows系統的話可以使用護衛神、入侵防護系統,完美防禦此類問題.