最新公告
  • 欢迎您光临都潮汇,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 如何简单有效地防范PHP一句话木马?_蜘蛛技巧_超级蜘蛛池

    正文概述 官方   2020-07-4   17

    php语言无需编译,动态执行,我们不得不佩服它的开发效率。但正因为可以动态执行,才带来了类似一句话木马等安全问题。因为我们要十分警惕,否则,无论做的再好,都将“满盘皆输”。

    首选,我们要先弄清楚,一句话木马是如何被植入到系统的,基本存在通过一下几种方式:

    1、利用sql注入。sql注入可以通过mysql pdo的预处理来解决。

    2、利用配置上的漏洞,伪造一张图片,其实是可执行的代码,然后伪造一条地址,类似http://php.net/foo.jpg/a.php。当 php.ini 中 cgi.fix_pathinfo = 1 时,PHP CGI 以 / 为分隔符号从后向前依次检查如下路径,直到找个某个存在的文件,如果这个文件是个非法的文件,so… 悲剧了~。所以对于使用php-fpm<0.6的务必关闭关闭该选项,设置 cgi.fix_pathinfo = 0。

    3、利用php框架的漏洞,就比如之前thinkphp暴露出来的一样,没有对controller进行正则判断,结果就被利用了,“黑客”利用该漏洞,传输一个函数名字,控制后台执行该函数,如果该该函数为file_put_contents,一句话木马:<?php @eval($_POST[value]);?>就很容易被植入到服务器上。剩下的就不用说了。

    那么我们该怎么防范呢?其实无论我们有多小心,还是无法百分百确保安全。在这里我提供一种简单有效的方法供大家参考。

    第一步,固定PHP的访问入口,网站唯一请求入口

    如果是index.php,nginx的配置如下:

    #只允许index入口
    location ~ .*/index\\.(php)$ {
     
    }
    #其它php文件入口直接拒绝访问
    location ~* .*\\.(php)$ {
     deny all;
    }

    这样可以保证,就算一句话木马被植入了,它没有执行的机会。

    第二步,修改入口文件的属性,保证入口文件不被篡改。

    chattr +i index.php

    两步,既保证了入口文件不能被修改,又使木马文件失去了执行的机会。

    本网站所有源码和软件均为作者提供和网友推荐收集整理而来!
    本站提供的所有模块、软件等资源,均不提供任何技术服务,请悉知!
    如您需要商用,请支持正版,本站提供的程序仅供学习和研究使用!
    资源每天实时更新,如遇压缩包解压密码,一律为:www.dch888.cn
    如有侵犯你版权的,请来信(邮箱:i@dch888.cn)指出,本站将立即改正。
    都潮汇 » 如何简单有效地防范PHP一句话木马?_蜘蛛技巧_超级蜘蛛池

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    都潮汇
    互联网精品资源网站源码分享平台