某站点安全漏洞分析与建议报告
前两天对公司某频道日志做了分析
备注:xxx代表某域名或某信息
一、日志记录分析
漏洞1:文件上传漏洞危险等级:非常严重
通过日志分析,发现黑客在2014年2月22日用http://xxx/css_edit/css.php(后来更改为cssx.php)文件上传漏洞,获取webshell权限,并且在服务器上植入木马程序。
黑客分别在2014年2月27日和2014年3月3日通过木马程序远程操作,植入恶意“时时彩templates_c/templates.php”。
漏洞2:数据库文件暴露危险等级:严重
http://xxx/configuration.php1205
http://xxx/configuration.php140304等
运维人员不正确备份数据文件
下面具体日志记录
1.80.76.136 – – [22/Feb/2014:16:01:26 +0800] “GET /css_edit/css.php HTTP/1.1” 200 45841
1.80.76.136 – – [22/Feb/2014:16:01:43 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45969
1.80.76.136 – – [22/Feb/2014:16:03:30 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45943
1.80.76.136 – – [22/Feb/2014:16:06:43 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45958
linux 进程木马、恶意程序检测
最近研究了一下Trojan scan的源码,它是用shell编写
用它来监控单个服务器上的进程,感觉不错!
就是一个服务器部署麻烦一些!
话说会,不麻烦的东西,就不安全!
个人见解,嘿嘿!
有闲情的话可以在这个基础上继续开发,搞个总的服务器端,监控那些!
不是更爽哇?
有效防御PHP木马攻击的技巧
、防止跳出web目录 首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache /htdocs 这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误: Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。 2、防止php木马执行webshell 打开safe_mode, 在,php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选 3、防止php木马读写文件目录 在php.ini中的 disable_functions=
