前段時(shí)間，服務(wù)器上的一個(gè)小站被掛了木馬。服務(wù)器使用的centos+nginx+php，程序使用的Didcuz和UChome。本來這個(gè)網(wǎng)站沒什么訪問量，居然還被黑客盯上了，還好每天都有備份，沒有造成什么損失。不過還是挺感謝黑客，幫我檢驗(yàn)的服務(wù)器的安全漏洞，從而進(jìn)一步加強(qiáng)服務(wù)器的安全防護(hù)。
現(xiàn)將服務(wù)器的一些安全防護(hù)分享一下~~~

1、服務(wù)器本身的安全

安裝denyhost，防止SSH的暴力破解，具體安裝方法參考《denyhost防止SSH暴力破解，保護(hù)你的linux》一文。
另外對系統(tǒng)的一些重要文件添加一個(gè)i權(quán)限
比如:
# chattr +i /etc/passwd
# chattr +i /etc/group
# chattr +i /etc/shadow
# chattr +i /etc/gshadow
# chattr +i /etc/ssh/sshd_config

2、nginx和php的安全

(1)對discuz/attachments,uchome/attachment,ucenter/data/tmp等用戶上傳的目錄，限制php程序。centos+nginx本身應(yīng)該比較安全的，一般的黑客都是利用webshell來入侵。
在nginx的配置文件里面添加
location ~ .*\.(php|php5)?$ {
.......
#------------------------------------------
rewrite ^/(uc\_client|templates|include|plugins|admin|attachments|images|
forumdata)/.*\.(php|php5)?$ /50x.php last;
#-------------------------------------------
}

(2)修改php.ini
查找：disable_functions
找到后在=后面添加
exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,
popepassthru,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,popen
這里都是禁止在php里面執(zhí)行的函數(shù)

(3)對一些重要而且不需要修改的文件添加i權(quán)限，方法同《1、服務(wù)器本身的安全》部分

3、如何查找服務(wù)器中的php木馬

PHP木馬的最明顯特征是使用了eval與base64_decode這個(gè)函數(shù)，我們可以這么查找

find /var/www/ -type f -name "*.php" | xargs grep "eval(" |more

如果發(fā)現(xiàn)這樣的字樣，多半是木馬程序
eval(base64_decode(..............));

查找一下自己的服務(wù)器有沒有木馬吧~~~

關(guān)健詞：查殺，PHP