木馬和后門(mén)的查殺是系統(tǒng)管理員一項(xiàng)長(zhǎng)期需要堅(jiān)持的工作，切不可掉以輕心。以下從幾個(gè)方面在說(shuō)明Linux系統(tǒng)環(huán)境安排配置防范和木馬后門(mén)查殺的方法：

　　一、Web Server（以Nginx為例）

　　1、為防止跨站感染，將虛擬主機(jī)目錄隔離（可以直接利用fpm建立多個(gè)程序池達(dá)到隔離效果）

　　2、上傳目錄、include類(lèi)的庫(kù)文件目錄要禁止代碼執(zhí)行（Nginx正則過(guò)濾）

　　3、path_info漏洞修正：

　　在nginx配置文件中增加：

　　if ($request_filename ~* (.*)\.php) {
　　set $php_url $1;
　       　}
　　if (!-e $php_url.php) {
　　return 404;
   　}

　　4、重新編譯Web Server，隱藏Server信息

　　5、打開(kāi)相關(guān)級(jí)別的日志，追蹤可疑請(qǐng)求，請(qǐng)求者IP等相關(guān)信息。

　　二.改變目錄和文件屬性，禁止寫(xiě)入

　　find -type f -name \*.php -exec chmod 444 {} \;
　　find -type d -exec chmod 555 {} \;

　　注：當(dāng)然要排除上傳目錄、緩存目錄等；

　　同時(shí)最好禁止chmod函數(shù)，攻擊者可通過(guò)chmod來(lái)修改文件只讀屬性再修改文件！

　　三.PHP配置

　　修改php.ini配置文件，禁用危險(xiǎn)函數(shù)：

　　disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg

　　四.MySQL數(shù)據(jù)庫(kù)賬號(hào)安全：

　　禁止mysql用戶外部鏈接，程序不要使用root賬號(hào)，最好單獨(dú)建立一個(gè)有限權(quán)限的賬號(hào)專(zhuān)門(mén)用于Web程序。

　　五.查殺木馬、后門(mén)

　　grep -r –include=*.php  ‘[^a-z]eval($_POST’ . > grep.txt
　　grep -r –include=*.php  ‘file_put_contents(.*$_POST\[.*\]);’ . > grep.txt

　　把搜索結(jié)果寫(xiě)入文件，下載下來(lái)慢慢分析，其他特征木馬、后門(mén)類(lèi)似。有必要的話可對(duì)全站所有文件來(lái)一次特征查找，上傳圖片肯定有也捆綁的，來(lái)次大清洗。

　　查找近2天被修改過(guò)的文件：

　　find -mtime -2 -type f -name \*.php

　　注意：攻擊者可能會(huì)通過(guò)touch函數(shù)來(lái)修改文件時(shí)間屬性來(lái)避過(guò)這種查找，所以touch必須禁止

　　六.及時(shí)給Linux系統(tǒng)和Web程序打補(bǔ)丁，堵上漏洞

【編輯推薦】

1. 如何讓Linux系統(tǒng)管理變得更輕松？
2. Linux系統(tǒng)運(yùn)維應(yīng)用工具的使用和實(shí)戰(zhàn)
3. Linux系統(tǒng)性能調(diào)優(yōu)那些事兒
4. 面向Linux系統(tǒng)管理員：企業(yè)端口掃描實(shí)戰(zhàn)
5. Linux系統(tǒng)故障排查和修復(fù)技巧
6. Linux系統(tǒng)常見(jiàn)故障的解決方法

【責(zé)任編輯：黃丹 TEL：（010）68476606】