LINUX web服务器首次被攻击(PHP木马怎么被挂进来的)解决思路

最新推荐文章于 2023-04-01 11:38:32 发布
VIP文章 最新推荐文章于 2023-04-01 11:38:32 发布
阅读量3k 收藏 2
点赞数
分类专栏: 网络系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MiltonZhong/article/details/9714367
版权

1.通过分析WEB日志并结合其他一些线索来对攻击者进行追踪(web日志不仅仅查一个网站的,而是整个服务器上的网站的web日志都要查)。


2.马上修改文件权限,尽可能小。   修改后台帐号密码。修改mysql管理密码。修改ftp帐号密码。加固防火墙。查看linux用户,删除或锁住无用的用户。必要时要修改root密码


3.搜索PHP中的挂马文件(搜索方法在其他文章)。删除。必须要找到位置。因为即使知道黑客怎么进来的,也不知道木马在哪里,黑客可以通过一个程序漏洞,去修改其他程序


4.分析木马是怎么挂进来的,否则删除掉木马一样没用,黑客照样会以同样的方式进来。


5.找到具体木马位置,确定文件被修改的时间截,根据时间段来查找web日志,缩小查找范围,确定黑客从哪里进来

最低0.47元/天 解锁文章
MiltonZhong
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php网站被挂木马后的修复方法总结
12-19
本文实例总结了php网站被挂木马后的修复方法。分享给大家供大家参考。具体方法如下: 在linux中我们可以使用命令来搜查木马文件,到代码安装目录执行下面命令 复制代码 代码如下:find ./ -iname “*.php” | xargs grep -H -n “eval(base64_decode” 搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉 最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码 如果你在windows中查找目录直接使用windows文件搜索就可以了,可以搜索e
PHP代码注入详解
Zeker62的博客
08-16 4538
PHP代码注入的原理和解析 PHP代码注入靠的是RCE,即远程代码执行。 指应用程序过滤不严,hacker可以将代码注入到服务器进行远程的执行。 危害和SSRF相似,通过这个漏洞可以操控服务器的动作。 最典型的就是一句话木马PHP代码漏洞注入的两个要素: 程序中含有可执行的PHP代码函数 传入第一点的参数,客户端可控,直接修改或者影响 下面将对PHP相关函数和语句以及注入方法进行解释 eval() eval()函数在很多语言中都有,比如Python、PHP。 eval函数的作用是将字符串作为PHP
PHP代码注入】PHP语言常见可注入函数以及PHP代码注入漏洞的利用实例
m0_64378913的博客
06-26 6261
目录1 PHP注入概述2 相关函数与语言结构2.1 eval()函数2.2 assert()函数2.3 preg_replace()函数2.4 call_user_func()函数2.5 动态函数`$a($b)`3 总结 1 PHP注入概述 RCE概念:remote command/code execute,远程命令/代码执行。 PHP代码执行:在WEB中,PHP代码执行是指应用程序过滤不严,用户可用通过请求将代码注入到应用中执行。 PHP代码注入与SQL注入比较: 其注入思想是类似的,均是构造语句绕过服务
Linux 浏览器下访问 localhost/index.php,文件中的 php 代码被注释
qq_34889197的博客
09-07 3756
index.php <html> <body> <?php echo 'a'; ?> </body> </html> 打开浏览器后,在控制台看到的是 (并未执行 php 代码) <html> <body&amp
webshell及木马详解
金色%夕阳的博客
04-24 5222
webshell简介 什么是webshell ,一句话木马是什么样的 <?php @eval($_POST[cmd]);?> 怎么对木马进行免杀(绕过) 异或变形,关键字拼接,加密,编码等方式 文件上传 文件上传有哪些可以利用的点 前端校验 js 禁用js 或者 burp抓包后改名将.jpg改为.php 后端校验MIME类型。 更改Content-Type为Content-Type: image/jpeg 文件后缀黑名单 寻找其他可解析后缀 利用.user.ini .htaccess 利用%
Linux指令防止被重写,[Linux] nginx的try_files指令实现隐藏index.php的重写
weixin_36143786的博客
05-12 311
1.Nginx的try_files指令 ,核心功能是替代rewrite,并且比rewrite更强大的是可以按顺序查找文件是否存在,如果文件都找不到才会执行最后的重定向解决的问题是,如果一个网站的部署是如下结构:css/js/index.PHPlogin.PHPsetting.PHP2.当有接口的地址是 index.PHP/article/2,这样的path_info模式时,需要隐藏掉index.P...
菜鸟的linux服务器第一次木马入侵处理记录(名为xmrigMiner的木马
weixin_48713918的博客
04-01 1998
遇到木马入侵linux自查自删过程。 查了一下后台,是这个样子 显示的是cpu与内存占用极高,不停有写入操作大写的懵逼,第一反应是先关机 但是没屁用,cpu与内存占用居高不下 我处理的主要过程如下 kill进程没用,还会重新启动。查了半天资料,说是让我看看启用命令 卧槽,真的有 大概是我用的redis安装包有问题赶快启用删除全部定时任务命令 再次查询,就查不到这个定时任务了但是占用率还是居高不下,kill不掉用top命令查看进程状况 就是这个流氓程序,一直占着, 用kill命令,后面的2988
luinx php木马,linux下利用shell查找php木马
weixin_31884015的博客
03-09 222
作为站长和运维人员必须要面临站点可能被黑的可能。而在linux下,可以通过简间的语句查找并纠出这些害群之马。下面以php站为例 。php站里的上传的木马一般也都是.php文件 。同其他的网页语言一样,直接可以通过文本工具查看内容。一般的php木马里面都包含特点的关键词或关键语句。1、查找一句话PHP木马:# find ./ -name "*.php" |xargs egrep "phpspy|c9...
linux php木马提权,Centos7 下 redis 入侵实战 - root提权
weixin_29471541的博客
03-23 322
.知识铺垫Redis 还有几个奇怪的功能:Linux 有一个功能可以通过一个端口写到本地文件,如果我要写一个文件,而这个文件是木马,那就自动拉起了。如果写入自己签名的公钥,用自己的私钥解公钥,自己解自己的,所以直接替换公钥,就是通过 Redis。那么下面来实战演练一下通过redis匿名登陆写入反弹shell .环境准备首先启动一个允许匿名登陆的redis服务器。1[root@server01...
linux下面PHP木马攻击的安全防御
十方地藏
12-02 1383
1.防止跳出web目录   首先修改httpd.conf:   如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr /local/apache/htdocs,那么在httpd.conf里加上这么几行:   php_admin_value open_basedir /usr/local/apache/htdoc
LinuxPHP网站服务器安全配置加固防护方法【推荐】
01-20
本文详细总结了PHP网站在Linux服务器上面的安全配置,包含PHP安全、mysql数据库安全、web服务器安全、木马查杀和防范等,很好很强大很安全。(如果需要深入的安全部署建议找专业做安全的国内公司如:Sinesafe,绿盟,...
华盾服务器管理专家 3.0.3.78.rar
07-17
华盾服务器管理专家是一款服务器日常维护管理软件,集华盾独创的“WEB一站式管理”、用户权限管理、信息管理管理、性能管理管理、网站安全管理、主机维护管理、网站备案管理、网站维护管理、网络防火墙管理、系统...
Web漏洞实战教程(DVWA的使用)
12-30
1.3 MYSQL服务器安装 14 1.4 DVWA安装 21 2. LINUX环境准备 25 3. 实战演练 25 3.1 实验须知 25 3.2 COMMAND EXECUTION VULNERABILITY 27 3.2.1 漏洞介绍 27 3.2.2 攻击实战 27 3.2.3 PHP源代码 28 3.3 CROSS SITE ...
PHP云人才招聘系统V4.6.1商业授权版
03-01
安全重点:data目录为各类文件上传目录(头像 广告等),关闭该目录的执行权限可以有效防范大部分上传木马攻击。 语言及数据库支撑环境要求 * 可用的 web 服务器(如 Apache、Zeus、IIS 等) * PHP5.x及以上(支持...
linux中安装Clamav以及配置和使用(扫描感染文件)
MiltonZhong
07-23 8257
clam antivirus是基于UNIX/LINUX 操作系统的一款免费杀毒软件,支持在线更新病毒库。 下载 clamav-0.93.tar.gz tar zxvf clamav-0.93.tar.gz 进入目录,编译安装 ./configure --prefix=/usr/local/clamav make    &&   make install
寻找PHP(网站)挂马,后门
MiltonZhong
08-02 6914
php后门木马常用的函数大致上可分为四种类型: 1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open 2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_r
linux文件无法删除-rw-r--r-- (用lsattr chattr设置特殊属性)
MiltonZhong
08-12 4769
今天遇到一个问题。一个文本文件无法删除,看来要补下lsattr chattr方面的知识了,因为这个涉及到很多安全的东西 chattr命令的作用很大,其中一些功能是由Linux内核版本来支持的,如果Linux内核版本低于2.2,那么许多 功能不能实现。同样-D检查压缩文件中的错误的功能,需要2.5.19以上内核才能支持。另外,通过chattr命令 修改属性能够提高系统的安全 性,但是它并不适合
如何快速用密钥登录服务器
MiltonZhong
05-09 1890
如何用密钥快速安全登录服务器,实现安全登陆服务器,不直接用超级用户root的身份直接登录,只要按照一下几步操作即可实现。        1. 产生SSH2密钥对,选择RSA 1024加密         2.将密钥上传服务器,并在服务器导入密钥                  mkdir /root/.ssh                  chmod 700 /root/.ssh
通过SELinux设置防止webshell.php一句话木马访问Linux服务器上nginx代理网站外的其他资源
最新发布
06-11
可以通过SELinux设置防止webshell.php一句话木马访问Linux服务器上nginx代理网站外的其他资源,以下是具体步骤: 1. 确认SELinux状态:使用命令`getenforce`检查SELinux是否开启,如果输出`Enforcing`,则SELinux处于开启状态。 2. 安装SELinux工具包:使用命令`yum install setroubleshoot setools`安装SELinux工具包。 3. 配置nginx代理:在nginx配置文件中添加以下内容: ```nginx location ~ \.php$ { fastcgi_pass unix:/run/php-fpm/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; # SELinux配置 index webshell.php; # 只允许访问webshell.php文件 setsebool -P httpd_can_network_connect 0; # 禁止访问网络资源 } ``` 其中`index webshell.php`限制只允许访问webshell.php文件,`setsebool -P httpd_can_network_connect 0`禁止访问网络资源。 4. 更新SELinux策略:使用命令`restorecon -R /path/to/nginx`更新SELinux策略。 通过以上步骤,可以限制webshell.php一句话木马访问Linux服务器上nginx代理网站外的其他资源,提高服务器的安全性。需要注意的是,如果修改SELinux策略不当,可能会影响nginx服务的正常运行。建议在操作前备份相关文件,以防意外情况的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值