服务器被搞的不能行,因为特殊原因必须去市场上购买模板,所以避免不了被留下了后门。
研究了很久的后门,发现都是通过eval函数引起的,eval其实并不是一个函数,而是底层提供第一种特性。
看了百度很多文章,都是通过php扩展来禁用eval,
我们是站群服务器,
yum install wget make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils patch perl
cd /usr/local/src
wget http://download.suhosin.org/suhosin-对应的版本.tgz
tar zxvf suhosin-对应的版本.tgz
cd suhosin-对应的版本
/usr/bin/phpize
./configure --with-php-config=/usr/bin/php-config
make & make install
suhosin的版本可以去http://download.suhosin.org根据php版本选择对应的,目前就5.x和7.0之分
编译完成之后,会告诉你suhosin.so文件所在的位置。如果是默认位置的话一般都是/usr/lib64/php/modules/suhosin.so
在php.ini里加上这两行就ok了
extension=/usr/lib64/php/modules/suhosin.so
suhosin.executor.disable_eval=On
完毕。
验证:
先把一句话木马放到项目里,然后使用xx工具进行入侵
这时候http请求虽然成功了,但是已经无法拿到权限了。
其实,后门入侵的方式很多,尤其开发人员或者购买的代码,这个只是防止了一句话木马,还有更致命大马、小马 以及提权。
等我研究好防止大马的东西会再出来记录。