木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:
一、Web服务器(以Nginx为例)
1、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)
2、在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
3、隐藏web的版本信息
4、开启访问日志,追踪可疑请求,请求者IP等相关信息。
二、改变代码目录和文件属性,禁止写入
find /home/html -type f -name \*.php -exec chmod 444 {} \;
find /home/html -type d -exec chmod 555 {} \;
备注:上传目录、缓存目录除外;
在上传目录里面,可以将用户上传的内容或者文件名做一个判断,如果里面含有php,sql,exec,insert等字段,就直接过滤掉,不让其到服务器端,或者在服务器端将这样的文件直接删除
三.PHP配置
修改php.ini配置文件,禁用危险函数:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,\
curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL数据库账号安全
禁止mysql用户外部链接,程序不要使用root账号,最好单独建立一个有限权限的账号专门用于Web程序。
五、查找近2天被修改过的文件
find -mtime -2 -type f -name \*.php