時(shí)間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)
1、中國(guó)的開源軟件很多,但同時(shí)也給我們帶來了很多安全問題,網(wǎng)站掛馬成發(fā)站長(zhǎng)最頭痛的事情,在這里我寫一個(gè)檢測(cè)網(wǎng)站木馬php的小程序讓大家參考。
軟件原理:一般的木馬都是加密的,所謂的加密反而讓我們檢測(cè)帶來了方便,PHP木馬的最明顯特征是使用了 eval 與 base64_decode 這函數(shù),這樣就很好去檢測(cè)了,當(dāng)然有些CMS的正常文件也可能出現(xiàn)這東西,區(qū)別是CMS的文件打開是正常一行一行的,而木馬通常是:
eval(base64_decode(..............));
?>
這樣的代碼,而且基本都是如此,下面是檢測(cè)程序:
function parAllFiles($d)
{
$dh = dir($d);
while($filename = $dh->read() )
{
if($filename=='.' || $filename=='..') continue;
$tfile = $d.'/'.$filename;
if(is_dir($tfile))
{
//echo "檢查到: $tfile
";
parAllFiles($tfile);
}
else
{
if(!ereg("\.php", $tfile)) continue;
$bd = file_get_contents($tfile);
if(eregi("eval\(", $bd))
{
echo "$tfile
\r\n";
}
}
}
}
parAllFiles(dirname(__FILE__));
?>
使用這個(gè)檢測(cè)程序會(huì)把所有帶eval的文件作為可疑文件,打開來看一下,如果代碼像前者那樣的,肯定是木馬了。
對(duì)于有使用服務(wù)器的用戶,記住設(shè)置網(wǎng)站權(quán)限的一個(gè)原則:存放HTML、附件的文件不給予執(zhí)行腳本權(quán)限,執(zhí)行腳本的文件夾不給予寫入的權(quán)限。
2、mysql提權(quán)漏洞的處理
MySQL提權(quán)漏洞在windows服務(wù)器幾乎是致命的,如果你把WEB木馬都清理后,發(fā)現(xiàn)黑客還能掛馬,很可能是這個(gè)問題所致的,這要作下面幾方面處理:
(1) 網(wǎng)站的用戶千萬不要用root用戶,如果建立一個(gè)沒權(quán)限的用戶,然后指定它有操作某數(shù)據(jù)庫(kù)的權(quán)限;
(2) 檢查網(wǎng)站或windows文件,看是否有 udf.dll 或 xudf.dll (x通常是數(shù)字1、2、3等),如果有,說明你的服務(wù)器已經(jīng)中招了,這種木馬是致命的,清除方法是先用net stop mysql停止Mysql,然后刪除這些dll文件,然后用 net start mysql 重新啟動(dòng)mysql。
(目前在phpcms2008、php168最新版都已經(jīng)發(fā)現(xiàn)可能實(shí)現(xiàn)mysql提權(quán)的致命漏洞,建議做新站的盡量用dedecmsV5.3或Ecms V5.1)
關(guān)鍵詞標(biāo)簽:網(wǎng)站木馬檢測(cè),木馬清除
相關(guān)閱讀
熱門文章 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程虛擬主機(jī)中ASPX一些安全設(shè)置“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理Discuz!配置文件中的安全設(shè)置
人氣排行 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案什么是IPS(入侵防御系統(tǒng))linux iptables如何封IP段騰訊QQ密碼防盜十大建議隱藏ip地址增加網(wǎng)絡(luò)信息的安全性Windows Server 2008利用組策略的安全設(shè)置