1、中國(guó)的開源軟件很多���,但同時(shí)也給我們帶來了很多安全問題���,網(wǎng)站掛馬成發(fā)站長(zhǎng)最頭痛的事情����,在這里我寫一個(gè)檢測(cè)網(wǎng)站木馬php的小程序讓大家參考�。
軟件原理:一般的木馬都是加密的,所謂的加密反而讓我們檢測(cè)帶來了方便�,PHP木馬的最明顯特征是使用了 eval 與 base64_decode 這函數(shù),這樣就很好去檢測(cè)了��,當(dāng)然有些CMS的正常文件也可能出現(xiàn)這東西�����,區(qū)別是CMS的文件打開是正常一行一行的�����,而木馬通常是:
eval(base64_decode(..............));
?>
這樣的代碼��,而且基本都是如此����,下面是檢測(cè)程序:
function parAllFiles($d)
{
$dh = dir($d);
while($filename = $dh->read() )
{
if($filename=='.' || $filename=='..') continue;
$tfile = $d.'/'.$filename;
if(is_dir($tfile))
{
//echo "檢查到: $tfile
";
parAllFiles($tfile);
}
else
{
if(!ereg("\.php", $tfile)) continue;
$bd = file_get_contents($tfile);
if(eregi("eval\(", $bd))
{
echo "$tfile
\r\n";
}
}
}
}
parAllFiles(dirname(__FILE__));
?>
使用這個(gè)檢測(cè)程序會(huì)把所有帶eval的文件作為可疑文件���,打開來看一下,如果代碼像前者那樣的��,肯定是木馬了�。
對(duì)于有使用服務(wù)器的用戶���,記住設(shè)置網(wǎng)站權(quán)限的一個(gè)原則:存放HTML����、附件的文件不給予執(zhí)行腳本權(quán)限����,執(zhí)行腳本的文件夾不給予寫入的權(quán)限。
2�����、mysql提權(quán)漏洞的處理
MySQL提權(quán)漏洞在windows服務(wù)器幾乎是致命的��,如果你把WEB木馬都清理后���,發(fā)現(xiàn)黑客還能掛馬�,很可能是這個(gè)問題所致的,這要作下面幾方面處理:
(1) 網(wǎng)站的用戶千萬不要用root用戶�����,如果建立一個(gè)沒權(quán)限的用戶�����,然后指定它有操作某數(shù)據(jù)庫(kù)的權(quán)限��;
(2) 檢查網(wǎng)站或windows文件����,看是否有 udf.dll 或 xudf.dll (x通常是數(shù)字1、2����、3等),如果有�����,說明你的服務(wù)器已經(jīng)中招了�����,這種木馬是致命的,清除方法是先用net stop mysql停止Mysql���,然后刪除這些dll文件��,然后用 net start mysql 重新啟動(dòng)mysql�。
(目前在phpcms2008����、php168最新版都已經(jīng)發(fā)現(xiàn)可能實(shí)現(xiàn)mysql提權(quán)的致命漏洞���,建議做新站的盡量用dedecmsV5.3或Ecms V5.1)
關(guān)鍵詞標(biāo)簽:網(wǎng)站木馬檢測(cè),木馬清除
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置