从nginx层阻断可执行的php,防止php网站被挂马

已于 2023-01-13 10:41:57 修改
阅读量2k 收藏 5
点赞数 2
分类专栏: thinkphp 文章标签: php nginx 开发语言
于 2023-01-10 12:40:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010192444/article/details/128627716
版权

背景

最近网站又被挂马了,因为使用宝塔,且网站多,所以没法确定是哪个网站的漏洞。但可以确定的是对方上传了可执行的php文件。

方法

防止执行除入口文件(index.php)以外的其他php文件。

步骤

1、修改宝塔php配置文件

我用的是php5.6和php7.4,且大部分网站都有一个统一的入口index.php

先备份 /www/server/nginx/conf/enable-php-56.conf 为/www/server/nginx/conf/enable-php-56-origin.conf

再修改 /www/server/nginx/conf/enable-php-56.conf

	location ~ [^/]\.php(/|$)
	{
		try_files $uri =404;
		fastcgi_pass  unix:/tmp/php-cgi-56.sock;
		fastcgi_index index.php;
		include fastcgi.conf;
		include pathinfo.conf;
	}

将上面的改为

	## 只允许访问index.php
	location = /index.php
	{
		try_files $uri =404;
		fastcgi_pass  unix:/tmp/php-cgi-56.sock;
		fastcgi_index index.php;
		include fastcgi.conf;
		include pathinfo.conf;
	}
	## 其他php都返回404
    location ~ .*\.(php)$
    {
        return 404;
    }

2、确认伪静态配置文件

因为大部分网站是thinkphp的

location / {
	if (!-e $request_filename){
		rewrite  ^(.*)$  /index.php?s=$1  last;   break;
	}
}

验证

1、在站点的入口处建一个,tt.php

<?php

echo 'test';

访问  xxx.com/tt.php 则返回404

2、在入口处新建 test目录,并在test目录中建立index.php

<?php

echo 'test/index.php';

访问  xxx.com/test/index.php 则返回404

3、而网站的其他链接则都能正常访问。

多入口网站

有些网站不止一个入口。比如fastadmin,会有 adminxxx.php的后台入口文件,这些站点需要单独配置,站点-->设置-->配置文件,找到 PHP-INFO-START ,先将通用的配置注释掉 

## include enable-php-74.conf; 接着在下面加上特有的配置

注意:特有配置。先将其他目录下面的adminxxx.php,给禁用掉,不然木马被上传其他目录,后命名为adminxxx.php也是会被匹配到的

	#PHP-INFO-START  PHP引用配置,可以注释或修改
    # 先注释掉通用的配置,其他特有配置最好都带上 root地址
    # include enable-php-74.conf;

    ## index.php还是得精准匹配
	location = /index.php
	{
        root /www/wwwroot/xxxx.com/public;
		try_files $uri =404;
		fastcgi_pass  unix:/tmp/php-cgi-74.sock;
		fastcgi_index index.php;
		include fastcgi.conf;
		include pathinfo.conf;
	}
    ## 先将其他目录下面的adminxxx.php,给禁用掉
    location ~ /(.*)/adminxxx.php(/|$)
    {
        return 404;
    }
    ## 通过上面过滤后,就可以执行adminxxx.php
	location ~ adminxxx.php(/|$)
	{   
        ## root 暂时不建议加了,因为容易误导自己,实际public下面其他目录的也是会被执行,主要靠上面的过滤
		try_files $uri =404;
		fastcgi_pass  unix:/tmp/php-cgi-74.sock;
		fastcgi_index index.php;
		include fastcgi.conf;
		include pathinfo.conf;
	}
	## 其他php都返回404
    location ~ .*\.(php)$
    {
        return 404;
    }

其他

有些网站入口多的数不过来,就只能先用回原先的

	#PHP-INFO-START  PHP引用配置,可以注释或修改
    # 
    # include enable-php-56.conf;
    # 暂时没办法处理的多入口网站就采用原先的
    include enable-php-56-origin.conf;

Nginx 了怎么办?怎么实现高可用?
m0_69526086的博客
04-27 433
systemctl start nginx; #启动Nginx systemctl stop nginx; #停止Nginx 安装keepalived yum方式直接安装即可,该方式会自动安装依赖: yum -y install keepalived 修改主机(192.168.16.128)keepalived配置文件 yum方式安装的会生产配置文件在/etc/keepalived下: vi keepalived.conf keepalived.conf: #检测脚本 vrrp_script chk_htt
NGINX配置PHP网站
weixin_41560737的博客
04-08 3178
NGINX配置PHP
宝塔面板Nginx通过伪静态来实现禁止部分目录执行php脚本
笔记
09-30 1426
如启用面板修复以后 记得重新执行一次修改 网站伪静态规则示例。调换红框里面的内容顺序 改完以后先保存再重启一下宝塔面板。进入/www/server/panel/class/目录。查找include enable-php。找到panelSite.py点编辑。ps:如果还没有效果,考虑这个顺序。登陆宝塔面板点左侧菜单【文件】调换红框里面的内容顺序。
防止和修复php网站(宝塔)
qq_40194668的博客
01-13 5347
防止和修复php网站
nginx过滤请求php,Nginx HTTP过滤模块开发
weixin_39760206的博客
03-17 249
#include#include#include//Declarestatic ngx_int_t ngx_http_myfilter_header_filter(ngx_http_request_t *);static ngx_int_t ngx_http_myfilter_body_filter(ngx_http_request_t*,ngx_chain_t*);static ngx_http...
nginx配置一个禁止index.phpphp文件访问
luxiaobo_1的博客
04-11 323
nginx配置一个禁止index.phpphp文件访问
解决Nginx下载php而不是执行php的问题
锐意工作室
06-05 3448
文章目录解决Nginx下载php而不是执行php的问题排查步骤Nginx 配置文件例子参考文档 解决Nginx下载php而不是执行php的问题 排查步骤 先检查有没有安装和运行了php-fpm: systemctl status php-fpm 再检查php-fpm有没有侦听在9000端口: netstat -tnlp | grep 9000 检查Nginx配置文件中有没有为.php文件指定了正确的php解析程序,比如: location ~ \.php$ { try_fil
macOS搭建PHP开发环境(brew安装nginx、mysql 和多版本php,并配置多个php同时运行的环境)
最新发布
u010926168的博客
11-09 6554
由于homebrew主库中没有PHP7.2 之前的版本,并且7.2,7.3版本也被标记成过时版本;注意:5.6版本的配置文件路径和其他版本不一样。默认新版8以上直接安装。6.修改nginx配置。
nginx+php-fpm的安装和配置
weixin_63935238的博客
09-04 4193
环境虚拟机:VMware 16.2.4远程连接工具:Xshell 7nginx版本: nginx-1.14.2php版本:php-7.2.12。
No input file specified. Nginx PHP
senir
04-24 3673
都2022了,再写PHP的文章是不是过时了?现在还坚持搞PHP的不多了吧。 今天按照官方文档安装完NginxPHP之后,打开本地localhost,出现了这个错误:No input file specified. 一. 安装 Nginx 系统是Ubuntu-20.04.1,Nginx是通过官方文档 apt 方式安装的,参考官方wiki:Install | NGINX, Ubuntu系统默认的apt源里是有Nginx的,不过版本不是最新的1.20,而是1.18.按照Nginx官方文档的教程安
nginx禁止某个目录执行访问php防止脚本攻击
qq_15210925的博客
01-13 1114
location ~* ^/Public/(Uploads|2021-05-21)/.*\.(php|php5|asp|jsp|js)?$ { deny all; }
nginx伪静态 不显示PHP,nginx伪静态在本地测试没问题,上传至linux服务器出现不生效问题解决方法...
weixin_28952093的博客
03-11 491
今天在上线一个新项目时,出现在本地测试好好的,但上线到服务器后nginx伪静态失效的问题。在网上查询了很多资料都没有得到解决。下面给大家展示一下原始伪静态规则代码:rewrite ^/(verifyimg)(\.png)$ index.php?s=$1&%1 last;rewrite ^/(log|reg|login|loginfunc|checkToken|index)$ index.p...
php,PHP网站防御战
weixin_42388716的博客
03-12 518
最近把几个PHP网站的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木程序。 我在本地测试了这些木程序,可以读取所有硬盘的文件,可以随意修改文件,下载任意硬盘位置的文件,上传文件到主最近把几个PHP网站的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木...
网站目录禁止执行php,禁止网站目录php脚本执行权限的配置方法
weixin_29074295的博客
03-09 1976
在安装完织梦DedeCMS后,进入后台主页会有安全提示uploads、data目录有PHP执行权限,我们可以用.htaccess文件来禁止指定目录的执行权限,在配置前需要确认你的空间是否支持.htaccess和rewrite,该方法基于.htaccess文件中使用rewrite来达到禁止指定脚本的运行效果。方法如下,新建.txt记事本文档,将下面内容复制粘贴到记事本,另存为的时候,编码选ANSI类...
如何防止网站静态文件被
网站安全专家
03-03 510
今天教大家一招,解决网站中静态文件被的问题。其实很简单,我们只要找到网页中使用的所有的这个JS脚本,然后把它替换成静态的连接地址,这样子的话别人就没有办法去修改这些脚本文件了。 因为说这些脚本文件它都是一些静态的文件连接,那么既然是静态的,那就是说我们存放这个脚本的这个服务器,它只能放静态文件,不支持任何的脚本语言,那它也就不可能存在任何的后门,也不可能被篡改,上传脚本后门文件等等这些问题,所以说只要替换成静态的连接文件,那么说你网站从此以后没人能修改这些静态的脚本文件,他如果想给网站.
Php项目被的临时应急处理$B374K
foreversilent的专栏
05-06 484
1、关闭 DEBUG 模式 2、降权,去掉可执行权限644 3、添加.htaccess、禁止对静态资源文件夹内的 PHP 文件的访问 <IfModule mod_rewrite.c> Options +FollowSymlinks RewriteEngine On RewriteRule ^(.*)$ index.php?/$1 [QSA,PT] Rewrite...
dedecms index.php,PHP,dedecms漏洞的解决方法与预防
weixin_27442001的博客
03-19 742
在DEDECMS最新的5.7版本和5.7SP1版本后台都有个安全检测,data目录如果使用默认的名称,那么DEDE系统的安全肯定会大打折扣。相信大家都看到这样的提示:强烈建议将data目录搬移到Web根目录以外,查看如何搬迁。但是对于虚拟主机来说,有些虚拟主机限制,不给移动到web目录以外,那么为了最大限度的减少网站被攻击的可能,我们可以将data目录改名,这样也进一步减少了攻击的可能。具体操作如...
以ThinkPHP为例, nginx禁止访问目录设置, 保障网站安全
赵吉平的专栏
05-25 1281
作为网站管理员,网站安全是需要重视的一个方面。在网站的配置中,可采取一些措施来确保网站的安全。其中一个方法是使用 Nginx禁止访问设置。本文将介绍如何设置 Nginx禁止访问功能来确保网站的安全。Nginx禁止访问设置通常包括禁止访问某些目录或文件,以及限制访问某些文件的方式。但同时,请注意,禁止访问某些文件或目录可能会对网站的某些功能造成影响。因此,请确保在操作之前对网站进行备份,以避免出现不必要的问题。如果有请求到这些目录,将会被禁止访问。如果有访问这些路径的请求,并且请求的文件是 .
Linux查找疑似被文件方法以及Nginx根据不同IP做不同反向代理
weixin_30672019的博客
02-26 366
一、先说被的文件吧。 木文件一般会伪装成正常文件,或者非可执行文件,以达到欺骗的目的。 比方说,伪装成icon图标文件。 找到一个伪装的文件,用编辑器打开,就会发现里面是源码。 这种的工作原理大概是,在某一个正常的文件中用include引入这个图标文件, 然后,文件中的代码就被不知不觉的跟随正常的应用文件执行了。 同时,为了达到隐藏的目的,include的代码也不是显式的写的。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值