防御PHP木马攻击的技巧（初级篇）

BSD爱好者乐园b+?i'l'Z6CwB

    我们可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。BSD爱好者乐园:sAu+ad$F

GW5M'O
yLcT下面主要讲讲三个方面。比较普遍的处理方法：

K0cHl6|fBSD爱好者乐园$h@@e h&n

1、防止跳出web目录

.srDU#u4k0KV

*|9Hy {1E+qk/@首先修改httpd.conf，如果你只允许你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行：

#w8l"d}&sBSD爱好者乐园Yh3x{#^9~:b Z'k

php_admin_value open_basedir /usr/local/apache

g(_4n?!e vBSD爱好者乐园h1~u7of5c%I!XZ$f
Bn

/htdocs

:]R[YC7[BSD爱好者乐园` Z@KY#g4bs

这样，如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许，如果错误显示打开的话会提示这样的错误：BSD爱好者乐园F`6B'P0p/z&_#q%OC

]v-]gL AWarning: open_basedir restriction in effect. File is in wrong directory in

W0V8Z%v!BJBSD爱好者乐园wj%y(x4Q*E4fz

/usr/local/apache/htdocs/open.php on line 4BSD爱好者乐园K:Aa!vy#Lqf

BSD爱好者乐园k)vn+R,cuf

等等。

PrJ~SbI

Xw}
_g%Qa%QO4h2、防止php木马执行webshell

@jMeP}y!a

y2KO torp/j/~ g*D5a打开safe_mode，

tq"ff&lG;_BSD爱好者乐园(A#p2ip9@:V

在，php.ini中设置

[1n9XKPDBSD爱好者乐园v%Q8@TK_NB8L\;n'Q

disable_functions= passthru，exec，shell_exec，system

J&r#iO3TS

U^;Bn[;P0O二者选一即可，也可都选BSD爱好者乐园VOW6q6D"m$uu

*Rzp!E jhF3、防止php木马读写文件目录

.]3Ok(m/XHsOBSD爱好者乐园0Y)hV:V6u)L

在php.ini中的

;^8@;FI4IfBSD爱好者乐园(m6opx5W%?j"S5j

disable_functions= passthru，exec，shell_exec，system

"Bty_
}BSD爱好者乐园A|v}WYA

后面加上php处理文件的函数BSD爱好者乐园:]v/N:mD s6Y,d|
M

1u1N#\ Rnx:k%N8_D主要有

!obn Y;F`

pTl(B fZdVfopen，mkdir，rmdir，chmod，unlink，dir

}I2R?p'P X

o DwN2?YFh9}`fopen，fread，fclose，fwrite，file_existsBSD爱好者乐园B+\/}4KlF%t

7]DhfOIH kclosedir，is_dir，readdir.opendir

2fxOn9o'W,I1T

)tXi)x pQ \fileperms.copy，unlink，delfileBSD爱好者乐园2j f%\+m4j8~$SqZ

BSD爱好者乐园 s W(ql6aY7v*]{

即成为

Kl\1Hr;}@o}+HBSD爱好者乐园Fm%ojx

disable_functions= passthru，exec，shell_exec，system，fopen，mkdir，rmdir，chmod，unlink，dir

gTX`/i0t

o`yv&m，fopen，fread，fclose，fwrite，file_exists

&\+f],[3f \ _)kBSD爱好者乐园tG)g,i`*r,e5~*^

，closedir，is_dir，readdir.opendirBSD爱好者乐园 ~5r9S0^3^
fNNhS

V \5z(}a，fileperms.copy，unlink，delfileBSD爱好者乐园ISjAj6L:c

ku_6e}i$mNf6Vok，大功告成，php木马拿我们没辙了，遗憾的是这样的话，利用文本数据库的那些东西就都不能用了。BSD爱好者乐园@%C oT\ [

BSD爱好者乐园.PRkD"p3{~`

如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。BSD爱好者乐园 R"C;Qa3h

Q*jK+FP7S? Anet user apache fuckmicrosoft /addBSD爱好者乐园Hr2xh
D%b jnx

Uo3m6s\f A/Dnet localgroup users apache /delBSD爱好者乐园#o8H;@HQe HLlN

BSD爱好者乐园ND:n(H%X

ok.我们建立了一个不属于任何组的用户apche。

kwswm-P4z

?P;u9w[Rqfe)O我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，重启apache服务，ok，apache运行在低权限下了。

o%C*^3r"d.Z:c
[版权声明]BSD爱好者乐园站内文章，如来源不是互联网，则均系原创或翻译之作，可随意转载，或以此为基础进行演译，但务必以链接形式注明原始出处和作者信息，否则属于侵权行为。另对本站转载他处文章，俱有说明，如有侵权请联系本人，本人将会在第一时间删除侵权文章。
TAG: php PHP 安全 木马