最近几个网站都发现有木马文件,于是敢紧亡羊补牢。
记一下波折的学习过程。
1.查看最近更新的文件 -mtime最近修改的 ,-1 是1天前
find /网站目录 -mtime -1
搜出不少文件,删!
2.发现还有文件不断出现,确定有漏洞存在。检查上传功能。发现原代码中,上传图片的地方居然没有文件类型过滤。速度加上。
$pic1= request()->file('pic1');
$array=array("png","jpg","jpeg");//赋值一个数组
if($pic1){
$tmp=explode(".",$pic1);//用explode()函数把字符串打散成为数组。
$extension=end($tmp);//用end获取数组最后一个元素
if( in_array($extension,$array)){//判断提交上的文件是否为空或错误
$info = $pic1->move(ROOT_PATH . 'upload' . DS . 'auth');
if($info){
$data["pic1"]=$info->getSaveName();
}else{
$this->error( $pic1->getError());
}
}else{
$this->error("非法文件!");
}
3.随后又发现仍有文件出现,且修改日期修改的和同目录文件一致,还有是未来的日期。于是用grep命令搜索相关的$_POST $_GET等可能存在的后门命令,找到删!
grep -r '$_'|more
4.服务器访问日志无数的 /plus/ 等等测试dedecms漏洞的访问。想办法封,找到了宝塔的WAF服务器防火墙付费的但不贵。常见配置已经配置好了,可以直接上,过滤掉不少有害访问。
到此基本上安全多了。不过,仍然要每天上来看看日志,搜一下新增代码。