前言: 由于服务器被黑了几次,找到了被黑的规律。
被黑原因:我所使用的某单入口php框架有安全漏洞,查看日志后发现,都是对方尝试 /index.php?s=xxxxxxxx 来注入,之后在web目录下生成一个.php木马文件,之后通过这个木马文件来执行其他入侵操作。
请问以下防护思路是否可行,或意义大不大:
1、把入口文件 index.php 改成 无规律的名称,例a139.php , 然后把nginx 伪静态定向到 a139.php,对普通用户无感知。 入侵者用 /index.php?s=xxxxxx 注入就会返回404,无法注入成功
2、让nginx 只解析 a139.php 这一个php文件,就算入侵者猜到了入口文件名称,并成功在web目录下创建了木马文件 b.php ,但nginx没有解析b.php,这个文件还是无法对系统造成影响 (这一条是我猜测,我不确定nginx是否可以这样配置)
3、 目录权限配置,web目录只读 ,缓存目录可写,但不执行.php文件
4、假如 web目录已经被对方入侵,并成功创建了 木马.php, 入侵者是否可以拿到服务器登录权限,运行非web类木马,例如挖矿,go,python等 其他程序? 目前服务器使用宝塔面板搭建,入侵者应该只有web目录下读写权限,其他目录有浏览权限,无写入权限。 查
5、最后 我把web目录彻底删除,是否等于彻底删除了木马,还是说系统其他目录也要检测的。例如查看用户组等操作
大佬们该出来唠嗑了!