如何有效处理PHP“一句话木马”

飞云师兄
2021-03-01 / 0 评论 / 11 阅读 / 正在检测是否收录...

当然,我们首先要弄清楚php一句话木马是如何被植入到系统的
基本通过以下的几种方式:

  1. 利用sql注入。sql注入可以通过mysql pdo的预处理来解决
  2. 利用配置上的漏洞,伪造一张图片,其实是可执行的代码,然后伪造一条地址,类似http://phpvim.net/foo.jpg/a.php。当 php.ini 中 cgi.fix_pathinfo = 1 时,PHP CGI 以 / 为分隔符号从后向前依次检查如下路径,直到找个某个存在的文件,如果这个文件是个非法的文件,so… 悲剧了~。所以要注意上传文件的路径,绝对不能和入口文件在一个目录
  3. 利用php框架的漏洞,就比如之前thinkphp暴露出来的一样,没有对controller进行正则判断,结果就被利用了,“黑客”利用该漏洞,传输一个函数名字,控制后台执行该函数,如果该该函数为file_put_contents,一句话木马:
<?php @eval($_POST[value]);?>
  1. 就很容易被植入到服务器上,剩下的就不用说了

那么我们该怎么防范呢?其实无论我们有多小心,还是无法百分百确保安全,在这里我提供一种简单有效的方法供大家参考
第一步,固定PHP的访问入口,如果是index.php,nginx的配置如下:

只允许index入口

location ~ .*/index\.(php)$ {
}

其它php文件入口直接拒绝访问

location ~* .*\.(php)$ {
deny all;
} 

这样可以保证就算一句话木马被植入了,它也没有执行的机会

第二步,修改入口文件的属性,保证入口文件不被篡改

chattr +i index.php

弄完这两步,既保证了入口文件不能被修改,又使木马文件失去了执行的机会

4

评论 (0)

取消