linuxphp木馬

⑴ 如何查linux的nginx是否被掛馬

linux系統相對比windows安全，但是有些程序上的不安全行為。不管你是什麼系統，一樣也會存在危險因素，在這里，我們總結出了linux系統下的一些常見排除木馬和加固系統安全性的方法。

1、改變目錄和文件屬性，禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;

註：當然要排除上傳目錄、緩存目錄等；
同時最好禁止chmod函數，攻擊者可通過chmod來修改文件只讀屬性再修改文件

2、php的危險配置
禁用一些危險的php函數，例如：

passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,popen,dl,
syslog,show_source

3、nginx安全方面的配置

限制一些目錄執行php文件

location~^/images/.*\.(php|php5)$
{
denyall;
}

location~^/static/.*\.(php|php5)$
{
denyall;
}

location~*^/data/(attachment|avatar)/.*\.(php|php5)$
{
denyall;
}

註：這些目錄的限制必須寫在

location~.*\.(php|php5)$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}

的前面，否則限制不生效!
path_info漏洞修正：
在通用fcgi.conf頂部加入

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}

4、linux系統下查找php的相關木馬

php木馬一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>

find /data/wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /root/scan.txt

另外也有上傳任意文件的後門,可以用上面的方法查找所有包括"move_uploaded_file"的文件.

還有常見的一句話後門：

grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > grep.txt

把搜索結果寫入文件，下載下來慢慢分析，其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找，上傳圖片肯定有也捆綁的，來次大清洗。

5、查找近3天被修改過的文件：

find /data/www -mtime -3 -type f -name \*.php

注意：攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找，所以touch必須禁止

6、查找所有圖片文件

查找所有圖片文件gif,jpg.有些圖片內容里被添加了php後門腳本.有些實際是一個php文件,將擴展名改成了gif了.正常查看的情況下也可以看到顯示的圖片內容的.這一點很難發現.

曾給客戶處理過這類的木馬後門的.發現在php腳本里include一個圖片文件,經過查看圖片文件源代碼,發現竟然是php腳本.

好了。安全加固你的php環境是非常重要的運維工作，大家還有什麼其他加固安全的好方法，可以拿過來分享一下。

提示：如果上面顯示空白或者頁面排版混亂、內容顯示不完整等影響閱讀的問題，請點擊這兒瀏覽原文

返回腳本百事通首頁 如果您喜歡腳本編程技術，歡迎加入QQ群：246889341，在群里認識新朋友和交流技術^_^
Linux下查找後門程序
每個進程都會有一個PID，而每一個PID都會在/proc目錄下有一個相應的目錄，這是Linux（當前內核2.6）系統的實現。

一般後門程序，在ps等進程查看工具里找不到，因為這些常用工具甚至系統庫在系統被入侵之後基本上已經被動過手腳（網上流傳著大量的rootkit。假如是內核級的木馬，那麼該方法就無效了）。
因為修改系統內核相對復雜（假如內核被修改過，或者是內核級的木馬，就更難發現了），所以在/proc下，基本上還都可以找到木馬的痕跡。

思路：
在/proc中存在的進程ID，在 ps 中查看不到（被隱藏），必有問題。
Bash Shell:
#!/bin/bash
str_pids="`ps -A | awk '{print $1}'`"
for i in /proc/[[:digit:]]*; do
if echo "$str_pids" | grep -qs `basename "$i"`; then
:
else
echo "Rootkit's PID: $(basename "$i")"
fi
done

討論：
檢查系統(Linux)是不是被黑，其復雜程度主要取決於入侵者「掃尾工作」是否做得充足。對於一次做足功課的入侵來說，要想剔除干凈，將是一件分精密、痛苦的事情，通常這種情況，需要用專業的第三方的工具（有開源的，比如tripwire，比如aide）來做這件事情。
而專業的工具，部署、使用相對比較麻煩，也並非所有的管理員都能熟練使用。

實際上Linux系統本身已經提供了一套「校驗」機制，在檢查系統上的程序沒有被修改。比如rpm包管理系統提供的 -V 功能：
rpm -Va
即可校驗系統上所有的包，輸出與安裝時被修改過的文件及相關信息。但是rpm系統也可能被破壞了，比如被修改過。

⑵ 如何修改linux下的php.ini文件，使其支持bcmath-CSDN論壇

(1)
打開php的安全模式
php的安全模式是個非常重要的內嵌的安全機制，能夠控制一些php中的函數，比如system()，
同時把很多文件操作函數進行了許可權控制，也不允許對某些關鍵文件的文件，比如/etc/passwd，
但是默認的php.ini是沒有打開安全模式的，我們把它打開：
safe_mode
=
on
(2)
用戶組安全
當safe_mode打開時，safe_mode_gid被關閉，那麼php腳本能夠對文件進行訪問，而且相同
組的用戶也能夠對文件進行訪問。
建議設置為：
safe_mode_gid
=
off
如果不進行設置，可能我們無法對我們伺服器網站目錄下的文件進行操作了，比如我們需要
對文件進行操作的時候。
(3)
安全模式下執行程序主目錄
如果安全模式打開了，但是卻是要執行某些程序的時候，可以指定要執行程序的主目錄：
safe_mode_exec_dir
=
D:/usr/bin
一般情況下是不需要執行什麼程序的，所以推薦不要執行系統程序目錄，可以指向一個目錄，
然後把需要執行的程序拷貝過去，比如：
safe_mode_exec_dir
=
D:/tmp/cmd
但是，我更推薦不要執行任何程序，那麼就可以指向我們網頁目錄：
safe_mode_exec_dir
=
D:/usr/www