0

前言: 由于服务器被黑了几次,找到了被黑的规律。

被黑原因:我所使用的某单入口php框架有安全漏洞,查看日志后发现,都是对方尝试 /index.php?s=xxxxxxxx 来注入,之后在web目录下生成一个.php木马文件,之后通过这个木马文件来执行其他入侵操作。

请问以下防护思路是否可行,或意义大不大:
1、把入口文件 index.php 改成 无规律的名称,例a139.php , 然后把nginx 伪静态定向到 a139.php,对普通用户无感知。 入侵者用 /index.php?s=xxxxxx 注入就会返回404,无法注入成功

2、让nginx 只解析 a139.php 这一个php文件,就算入侵者猜到了入口文件名称,并成功在web目录下创建了木马文件 b.php ,但nginx没有解析b.php,这个文件还是无法对系统造成影响 (这一条是我猜测,我不确定nginx是否可以这样配置)

3、 目录权限配置,web目录只读 ,缓存目录可写,但不执行.php文件

4、假如 web目录已经被对方入侵,并成功创建了 木马.php, 入侵者是否可以拿到服务器登录权限,运行非web类木马,例如挖矿,go,python等 其他程序? 目前服务器使用宝塔面板搭建,入侵者应该只有web目录下读写权限,其他目录有浏览权限,无写入权限。 查

5、最后 我把web目录彻底删除,是否等于彻底删除了木马,还是说系统其他目录也要检测的。例如查看用户组等操作

大佬们该出来唠嗑了!

2019-06-12 提问
2 个回答
1

已采纳

第一条,你再重写,请求还是会到那个文件,意义不是太大。
第二条,没这么搞过,nginx这样配置,估计也太折腾了,只解析一个文件,那还不如整个目录只读呢。
第三条,可行,php脚本目录,尽可执行,其他目录,仅作为静态文件类型,虽然可写,但是不可执行脚本。
第四条,做好防火墙,尤其22端口的访问控制好,另外,尽可能关掉密码登录,使用证书登录。另外,运行nginx、php的用户不能是root,另外,用户权限控制好,别把环境搞得那么全,啥都提供。就算创建木马.php,大部分场景也是对外发请求,修改本地php文件,读取其他目录控制好。另外就算登录服务器,让安装不了软件,执行不了其他程序等等。
第五条,对Linux服务器来说,被黑了,就直接重装吧,鬼知道别人会在你服务器里面搞了啥。

1

1.第三点可行
2。检查运行nginx和php-fpm的用户,配置好目录权限‘这样就算注入了木马’也会因为权限问题造成的损害有限

撰写答案

推广链接