怎样查杀 PHP 网站的后门呢

2014-11-14 17:59:11 +08:00
 vitozhang
网站被挂马留后门了,如何才能找到后门呢,求大神结合自己的经验给个思路
6860 次点击
所在节点    PHP
38 条回复
vitozhang
2014-11-15 15:45:50 +08:00
@whywhywhy 挨个文件找太痛苦了,感觉还是部署个系统监控比较靠谱
shiny
2014-11-15 17:27:42 +08:00
我是这么处理的:
1、查找木马文件的 web 访问日志
2、查找该 ip 的其他操作,查找相关操作访问过的文件和 url。
3、如果没有相关 ip,可以翻下木马写入时间的web日志。如果网站规模小可以把那几天的日志都翻一下。
3、定位出漏洞所在位置
4、修补漏洞。

虽然理论上 不是 100% 有效,实践中效果不错。
shiny
2014-11-15 17:30:25 +08:00
对于高危 php 代码(类似 dedecms),还设想过这样的预警方式:整天 crond 扫描对比文件,如果有异常就发邮件通知。
不过常用防范手法用上后就没遇到过后门,也没去实践。
vitozhang
2014-11-15 19:06:28 +08:00
@shiny 还会把日志留下的入侵真是有良心啊,其实不需要写的php文件可以将整个文件夹设置只读权限,但是cache目录是没法设置只读的,还是能写进木马去,并且cache目录下的php文件经常变化,没法扫描对比
xifangczy
2014-11-15 19:26:24 +08:00
一句话木马是最难定位的,现在都是各种各样想都想不到的方式实现。
shiny
2014-11-15 19:31:07 +08:00
@vitozhang web 默认权限,入侵者删不了日志的……
你这种的话 cache 禁止执行 php(不影响 include 执行),然后排除掉 cache 目录就行了。
taogogo
2014-11-15 22:38:16 +08:00
检查文件修改时间,看对应时间的访问日志,来确定浏览者是否从web漏洞突破的(如果有日志);
使用扫描工具扫文件修改时间和关键字,去掉其他后门;
检查是否有弱口令;是否有多余端口;是否有包含漏洞的应用
taogogo
2014-11-15 22:39:18 +08:00
低权限,read only,文件修改监控都可以保护你~
konakona
2014-11-16 08:08:22 +08:00
=,,= 如果程序是你负责开发的倒还好..

1.创建时间/修改时间/文件权限(超高?)

基本上面这3个特征已足以..

2.关键词搜“By”(很多人喜欢HACKING BY WHO WHO WHO ..) “eval” 、“$_POST”、“$_GET”(这2个如果多就说明你们没有对这些global进行封装的习惯,有点难排查=,,=)、“dirname”、“__FILE__” 你们想想还有啥?

3.观察php的log,看下有哪些不可能执行PHP的目录下有PHP代码运行。
vitozhang
2014-11-16 09:02:05 +08:00
@shiny 好方法,cache设置读写去掉执行是不错的主意。默认权限下提权拿到root权限容易吗?
vitozhang
2014-11-16 09:04:00 +08:00
@taogogo 文件监控有没有开源的解决方案呢
vitozhang
2014-11-16 09:05:45 +08:00
@konakona 被include进去的文件不会记录在log中吗
jungledrum
2014-11-16 11:37:19 +08:00
试试“网站安全管家”http://zhanzhang.anquan.org/ ,找黑哥要邀请码
vitozhang
2014-11-16 11:58:12 +08:00
@jungledrum 谢谢推荐,瞧一下
taogogo
2014-11-16 13:50:13 +08:00
@vitozhang 搜下FAM
vitozhang
2014-11-16 17:05:03 +08:00
@taogogo File Alteration Monitor,赞,有不少开源的项目
xwsoul
2014-11-18 22:15:20 +08:00
如果有版本控制..比如 svn or git
直接 svn status 或者 git status
vitozhang
2014-11-19 09:05:22 +08:00
@xwsoul 这个方法挺赞的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/146565

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX