不谈具体的代码,php站点安全防护心得
首先,php本身有漏洞不在这篇文章的讨论范围之内,具体问题自行解决,这里要说的,是假如代码就是有漏洞,但是漏洞又找不到的情况下,如何去做。此文章仅针对小站点,大站点请忽略。
常见的漏洞有三个,通过XSS进入了后台,上传木马,sql注入。sql注入百度搜下很多,我的办法比较笨,过滤的严格一点,特殊地方不能过滤的,再特殊对待
实验环境
centos7 php7.1 nginx
防御XSS:
后台一般都有个后台目录,给该目录加上目录保护(浏览器打开目录,会提示输入账号密码),这样即便被拿到了后台的cookie和地址,也进入不了。下面是通过宝塔面板的设置截图。
按照提示填写即可,注意名称虽然可以用中文,但是感觉尽量还是用英文吧
然后就有个小坑,实际应用在网站上不好用,于是去找nginx的相关配置文件,宝塔的nginx配置文件路径为(/www/server/panel/vhost/nginx/dir_auth/)。
location ~* ^/laozhang/* {
#AUTH_START
auth_basic "Authorization";
auth_basic_user_file /www/server/pass/xiaozhu.5mai.net/test.pass;
include enable-php-71.conf;
#AUTH_END
}
如果没有伪静态,这样是没问题的,但是有了伪静态,得这样配置
location ~* ^/laozhang/* {
#AUTH_START
auth_basic "Authorization";
auth_basic_user_file /www/server/pass/ytsn.5mai.net/a.pass;
error_page 404 = @admin;
error_page 405 = @admin;
include enable-php-71.conf;
#AUTH_END
}
location @admin {
rewrite ^(.*)$ /index.php?s=$1 last; break;
}
#如果nginx是通过反向代理的形式对接的(比如swoole),那么就这么写
location @admin {
proxy_pass http://127.0.0.1:20199;
proxy_http_version 1.1;
proxy_read_timeout 360s;
proxy_redirect off;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header REMOTE-HOST $remote_addr;
add_header X-Cache $upstream_cache_status;
#Set Nginx Cache
add_header Cache-Control no-cache;
expires 12h;
}
后半部分是具体的伪静态规则,我这个是tp的。如果有put或者delete,还想要对405再特殊处理下
上传漏洞
这个方案的思想来自java,都说java比php安全,但是语言本身哪有什么谁比谁安全的说法,不过仔细想一下,不是java安全,是java的形式无意中成就了他的安全。
我们都知道java是达成jar包或者war包放在服务器上(jsp就不说了),也就是说即便被上传了木马文件,也运行不了,jar包本身又不能被修改,所以自然也就没有了上传漏洞。
按照此思路去改造php的站点,首先,找到你的网站的入口文件,以tp为例,是public/index.php,在nginx的站点配置文件上设置,如果是php文件,只允许index.php访问,其他访问都是404
set $flag 0;
if ($uri ~* /.*\.php) {
set $flag "${flag}1";
}
if ($uri != "/index.php") {
set $flag "${flag}2";
}
# fastadmin系统会有个随机的php文件作为后台入口,注意此时不能用=,因为$uri是会包含 /a.php/user/index 的,所以要用~检索是否包含
if ($uri !~ "/345DFGii41.php") {
set $flag "${flag}3";
}
if ($flag = "0123") { #注意,如果加了345DFGii41.php的判断,这里的012要改成0123,也就是加几个这里就加多少数字
return 404;
}
1,尽量放在站点配置文件比较考上的位置,如果写在下面,容易被别的规则先运行,就执行不到它了
2,如果你的入口文件有多个,那么久按照这个套路一直写(我水平有限,只能这样,希望有大神指点)
这样即便被上传了木马,也运行不了。
然后设置除了上传目录外,所有目录权限都为555(不可写),因为虽然木马文件传了没用,但是万一代码漏洞能造成index.php被改了怎么办。
然后就发现一个很讨厌的问题,设置555后,ftp也不能上传了,因为ftp也是www权限,自然也就上传不了了。
此时如果你是用jenkins或者跳板机这种比较高端的途径,那可以忽略,这里直说我们这种低端玩家。
用root权限肯定还是能传的,传完了后再改成555和www权限,这样是可以的。但是平常小站点开发,有点小问题IDE改完了直接快捷键ftp提交,省时省力,不想用root这种方式。
这个解决思路来源于宝塔,发现用面板还是可以改文件,并且改完了还是www用户。猜测宝塔应该是用一个更高级的权限去修改文件,然后再重新改权限为www。所以想到这么个办法。
ftp设置一个新目录,增加一个目录监控,ftp上传上文件后,再用root命令把那个新目录的文件同步到网站目录,并且重置权限。
目录监控软件【inotifywait】,安装:yum install inotify-tools -y
编写监控脚本
#!/bin/bash
#date:20200126
#explain:监控目录是否发生变化
CHECKDIR="/www/wwwroot/bpc_ftp/" #监控目录路径
PHPFILE="/www/wwwroot/inotifywait/bpc.php" #发送脚本路径
function CheckDir {
inotifywait -mqr --timefmt '%y-%m-%d %H:%M:%S' --format '%w %T %f %e' -e 'delete,close,create,moved_from' $CHECKDIR|while read event;
do
echo $event
php $PHPFILE $event
done
}
CheckDir
脚本具体什么意思大家自行百度,都说的很详细。这里说一下我自己遇到的坑。
首先是–format后面的参数设置,百度搜到的别人写的,都没有%w,这样就造成监听到的只有文件,没有文件所在的目录。最开始试了各种方法都不行,最后还是得靠仔细看参数说明。
然后是-e后面的,这个是要监听的动作,这里有个大坑,我是好一会才绕过来。
按照一般的想法,要监听创建,覆盖,删除这3个动作,软件没有覆盖这个动作,有个修改(modify)。这里就要理解一下文件传输的基本逻辑,首先传输一个文件,显示创建一个文件,然后是不断往这个文件加内容,最后是关闭文件。如果你传一个10M的文件,那么这个加内容的动作,会触发N多次的modify,服务器就挂了。所以要监听文件被关闭的动作。
脚本首先是要启动inotifywait,然后把监听到的内容发给php脚本,让php去复制文件(写shell确实比较蛋疼,这里用python也比较好,不过既然是php站,就尽量少引用别的东西了)
启动脚本并且后台运行【nohup bash /tmp/test/inot.sh >> outhup.log 2>&1 &】
查看是否运行【ps -eo pid,etime,cmd|grep “inot”| grep -v grep】
关闭脚本【ps -ef |grep inot |awk ‘{print $2}’|xargs kill -9】
下面是PHP脚本
<?php
function Directory($dir){
return is_dir ( $dir ) or Directory(dirname( $dir )) and mkdir ( $dir , 0555) and chown($dir,"www") and chgrp($dir,"www");
}
$file_path='/www/wwwroot/bpc_ftp/'; //ftp的上传目录
$www_path='/www/wwwroot/bpc.yataisannong.com/'; //网站文件的目录
$argv=$_SERVER['argv'];
if(!$argv){
exit;
}
file_put_contents(__DIR__."/log.txt",var_export($argv,1)."\r\n",FILE_APPEND);
$action=$argv[5];
$path=$argv[1];
$file=$argv[4];
//网站对应目录
$_path=str_replace($file_path,$www_path,$path);
if($action=='CLOSE_NOWRITE,CLOSE'){
Directory($_path);
copy($path.$file,$_path.$file);
chmod($_path.$file,0555);
chown($_path.$file,"www");
chgrp($_path.$file,"www");
}elseif($action=='CREATE,ISDIR'){
Directory($_path.$file);
}elseif($action=='DELETE' || $action=='MOVED_FROM'){
if(is_file($_path.$file)){
unlink($_path.$file);
}
}elseif($action=='DELETE,ISDIR'){
if(is_dir($_path.$file)){
rmdir($_path.$file);
}
}
php要开启chmod和chgrp这两个函数
总结
平民方案,大神直接绕过即可
感谢这篇文章对我的初始帮助
https://www.cnblogs.com/yanjieli/p/10370503.html
302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
