1��、中國(guó)的開(kāi)源軟件很多�����,但同時(shí)也給我們帶來(lái)了很多安全問(wèn)題���,網(wǎng)站掛馬成發(fā)站長(zhǎng)最頭痛的事情,在這里我寫(xiě)一個(gè)檢測(cè)網(wǎng)站木馬PHP的小程序讓大家參考��。
軟件原理:一般的木馬都是加密的���,所謂的加密反而讓我們檢測(cè)帶來(lái)了方便���,PHP木馬的最明顯特征是使用了 eval 與 base64_decode 這函數(shù),這樣就很好去檢測(cè)了�,當(dāng)然有些CMS的正常文件也可能出現(xiàn)這東西,區(qū)別是CMS的文件打開(kāi)是正常一行一行的��,而木馬通常是:
eval(base64_decode(..............));
?>
這樣的代碼�,而且基本都是如此,下面是檢測(cè)程序:
function parAllFiles($d)
{
$dh = dir($d);
while($filename = $dh->read() )
{
if($filename=='.' || $filename=='..') continue;
$tfile = $d.'/'.$filename;
if(is_dir($tfile))
{
//echo "檢查到: $tfile
";
parAllFiles($tfile);
}
else
{
if(!ereg("\.php", $tfile)) continue;
$bd = file_get_contents($tfile);
if(eregi("eval\(", $bd))
{
echo "$tfile
\r\n";
}
}
}
}
parAllFiles(dirname(__FILE__));
?>
使用這個(gè)檢測(cè)程序會(huì)把所有帶eval的文件作為可疑文件,打開(kāi)來(lái)看一下����,如果代碼像前者那樣的���,肯定是木馬了�����。
對(duì)于有使用服務(wù)器的用戶����,記住設(shè)置網(wǎng)站權(quán)限的一個(gè)原則:存放HTML��、附件的文件不給予執(zhí)行腳本權(quán)限���,執(zhí)行腳本的文件夾不給予寫(xiě)入的權(quán)限�����。
2��、MySQL提權(quán)漏洞的處理
MySQL提權(quán)漏洞在windows服務(wù)器幾乎是致命的����,如果你把WEB木馬都清理后���,發(fā)現(xiàn)黑客還能掛馬��,很可能是這個(gè)問(wèn)題所致的����,這要作下面幾方面處理:
(1) 網(wǎng)站的用戶千萬(wàn)不要用root用戶,如果建立一個(gè)沒(méi)權(quán)限的用戶���,然后指定它有操作某數(shù)據(jù)庫(kù)的權(quán)限�����;
(2) 檢查網(wǎng)站或windows文件�,看是否有 udf.dll 或 xudf.dll (x通常是數(shù)字1���、2�����、3等)��,如果有���,說(shuō)明你的服務(wù)器已經(jīng)中招了,這種木馬是致命的����,清除方法是先用net stop mysql停止Mysql,然后刪除這些dll文件�,然后用 net start mysql 重新啟動(dòng)mysql。
(目前在phpcms2008�����、php168最新版都已經(jīng)發(fā)現(xiàn)可能實(shí)現(xiàn)mysql提權(quán)的致命漏洞����,建議做新站的盡量用dedecmsV5.3或Ecms V5.1)
關(guān)鍵詞標(biāo)簽:網(wǎng)站木馬檢測(cè),木馬清除
火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程