最近网站频繁被挂马,今天做了一些改进,基本上把这个问题解决了,因为discuz x2存在漏洞,被上传了websehll,每次被删除过段时间又出来了,最终查到所有的***

从以下几个方面查找并加强

1.根据特征码查找:

php***一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>

  1. find /wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /wwwroot/scan.txt 

结果就查出很多明显的webshell,并且发现都藏在p_w_upload等目录下

2.利用网上的一个php代码,搜索最近被修改的文件

scandir.php

内容如下:

 

  1. <?php 
  2. set_time_limit(0);//防止超时 
  3. /** 
  4. * 
  5. * php目录扫描监控增强版 
  6. * 
  7. * @author lssbing (lssbing#gmail.com) 
  8. * @date 2010-1-18 
  9. * @license BSD 
  10. * @version 1.0 
  11. * 
  12. 下面几个变量使用前需要手动设置 
  13. * 
  14. **/ 
  15. /*===================== 程序配置 =====================*/ 
  16. $pass="12345";//设置密码 
  17. $jkdir="."//设置监控扫描的目录,当前目录为'.',上一级目录为'..',也可以设置绝对路径,后面不要加斜杠,默认为当前目录 
  18. $logfilename="./m.log";//设置存储log的路径,可以放置在任意位置 
  19. $exclude=array('data','p_w_picpaths');//排除目录 
  20. $danger='eval|cmd|passthru|gzuncompress';//设置要查找的危险的函数 以确定是否***文件 
  21. $suffix='php|inc';//设置要扫描文件的后缀 
  22. /*===================== 配置结束 =====================*/ 
  23.  
  24. $filename=$_GET['filename']; 
  25. $check=$_GET['check']; 
  26. $jumpoff=false; 
  27. $url = $_SERVER['PHP_SELF']; 
  28. $thisfile = end(explode('/',$url)); 
  29. $jump="{$thisfile}|".implode('|',$exclude); 
  30. $jkdir_num=$file_num=$danger_num=0; 
  31. define('M_PATH',$jkdir); 
  32. define('M_LOG',$logfilename); 
  33. if ($check=='check'
  34. $safearr = explode("|",$jump); 
  35. $start_time=microtime(true); 
  36. safe_check($jkdir); 
  37. $end_time=microtime(true); 
  38. $total=$end_time-$start_time
  39. $file_num=$file_num-$jkdir_num
  40. $message" 文件数:".$file_num
  41. $message.= " 文件夹数:".$jkdir_num
  42. $message.= " 可疑文件数:".$danger_num
  43. $message.= " 执行时间:".$total
  44. echo $message
  45. }else
  46. if ($_GET['m']=="del"Delete();//处理文件删除 
  47. //读取文件内容 
  48. if(isset($_GET['readfile'])){ 
  49. //输出查看密码,密码校验正确以后输出文件内容 
  50. if(emptyempty($_POST['passchack'])){ 
  51.    echo"<form id=\"form1\" name=\"form1\" method=\"post\">" 
  52.     . " <label>pass" 
  53.     . " <input type=\"text\" name=\"passchack\" />" 
  54.     . " </label>" 
  55.     . " <input type=\"submit\" name=\"Submit\" value=\"提交\" />" 
  56.     . "</form>" 
  57.    .""
  58.    exit
  59. }elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){ 
  60.    $code=file_get_contents($_GET['readfile']); 
  61.    echo"<textarea name=\"code\" cols=\"150\" rows=\"30\" id=\"code\" style='width:100%;height:450px;background:#cccccc;'>{$code}</textarea>"
  62.    exit
  63. }else
  64.    exit
  65.  
  66. }else
  67. record_md5(M_PATH); 
  68. if(file_exists(M_LOG)){ 
  69.         $log = unserialize(file_get_contents(M_LOG)); 
  70. }else
  71.         $log = array(); 
  72.  
  73. if($_GET['savethis']==1){ 
  74. //保存当前文件md5到日志文件 
  75. @unlink(M_LOG); 
  76. file_put_contents(M_LOG,serialize($file_list)); 
  77. echo "<a href='scandir.php'>保存成功!点击返回</a>"
  78. exit
  79. if(emptyempty($log)){ 
  80. echo "当前还没有创建日志文件!点击[保存当前]创建日志文件!"
  81. }else
  82. if($file_list==$log){ 
  83.    echo "本文件夹没有做过任何改动!"
  84. }else
  85.    if(count($file_list) > 0 ){ 
  86.     foreach($file_list as $file => $md5){ 
  87.     if(!isset($log[$file])){ 
  88.      echo "新增文件:<a href={$file} target='_blank'>".$file."</a>"." 创建时间:".date("Y-m-d H:i:s",filectime($file))." 修改时间:".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank'>源码</a><a href='?m=del&filename={$file}' target='_blank'>删除</u></a><br />"
  89.     }else
  90.      if($log[$file] != $md5){ 
  91.      echo "修改文件:<a href={$file} target='_blank'>".$file."</a>"." 创建时间:".date("Y-m-d H:i:s",filectime($file))." 修改时间:".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank'>源码</a><br />"
  92.  
  93.      unset($log[$file]); 
  94.      }else
  95.      unset($log[$file]); 
  96.      } 
  97.     } 
  98.     } 
  99.    } 
  100.    if(count($log)>0){ 
  101.     foreach($log as $file => $md5){ 
  102.     echo "删除文件:<a href={$file} target='_blank'>".$file."</a><br />"
  103.     } 
  104.    } 
  105.     } 
  106.  
  107. //计算md5 
  108. function record_md5($jkdir){ 
  109.         global $file_list,$exclude
  110.         if(is_dir($jkdir)){ 
  111.                 $file=scandir($jkdir); 
  112.                 foreach($file as $f){ 
  113.                         if($f!='.' && $f!='..' && !in_array($f$exclude)){ 
  114.                                 $path = $jkdir.'/'.$f
  115.                                 if(is_dir($path)){ 
  116.                                         record_md5($path); 
  117.                                 }else
  118.                                         $file_list[$path]=md5_file($path); 
  119.                                 } 
  120.                         } 
  121.                 } 
  122.         } 
  123.  
  124. function Safe_Check($jkdir)//遍历文件 
  125. global $danger ,$suffix ,$jkdir_num ,$file_num ,$danger_num
  126.  
  127. $hand=@dir($jkdiror die('文件夹不存在') ; 
  128. while ($file=$hand->read()) 
  129.     $filename=$jkdir.'/'.$file
  130.     if (!$jumpoff) { 
  131.    if(Jump($filename))continue
  132.     } 
  133.     if(@is_dir($filename) && $file != '.' && $file!= '..'&& $file!='./..'
  134.     {   $jkdir_num++; 
  135.     Safe_Check($filename); 
  136.     } 
  137.     if (preg_match_all ("/\.($suffix)/i",$filename,$out)) 
  138.     { 
  139.  
  140.    $str=''
  141.    $fp = @fopen($filename,'r')or die('没有权限'); 
  142.    while(!feof($fp)) 
  143.    { 
  144.    $str .= fgets($fp,1024); 
  145.    } 
  146.    fclose($fp); 
  147.    if( preg_match_all ("/($danger)[ \r\n\t]{0,}([\[\(])/i",$str,$out)) 
  148.    { 
  149.    echo "<font color='green' style='font-size:14px'>可疑文件:{$filename}</font>"." 创建时间:".date("Y-m-d H:i:s",filectime($filename))." 修改时间:".date("Y-m-d H:i:s",filemtime($filename))." <a href='?readfile={$filename}' target='_blank'><u>查看代码</u></a> <a href='?m=del&filename=$filename' target='_blank'>删除</u></a><br>"
  150.    $danger_num++; 
  151.    } 
  152.     } 
  153.     $file_num++; 
  154. function Edit()//查看可疑文件 
  155. global $filename
  156. $filename = str_replace("..","",$filename); 
  157. $file = $filename
  158. $content = ""
  159. if(is_file($file)) 
  160.     $fp = fopen($file,"r")or die('没有权限'); 
  161.     $content = fread($fp,filesize($file)); 
  162.     fclose($fp); 
  163.     $content = htmlspecialchars($content); 
  164.  
  165. echo "<textarea name='str' style='width:100%;height:450px;background:#cccccc;'>$content</textarea>\r\n"
  166. exit(); 
  167. function Delete()//删除文件 
  168. global $filename,$pass
  169. if(emptyempty($_POST['passchack'])){ 
  170.     echo"<form id=\"form1\" name=\"form1\" method=\"post\">" 
  171.    . " <label>pass" 
  172.    . " <input type=\"text\" name=\"passchack\" />" 
  173.    . " </label>" 
  174.    . " <input type=\"submit\" name=\"Submit\" value=\"提交\" />" 
  175.    . "</form>" 
  176.     .""
  177.     exit
  178. }elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){ 
  179.    (is_file($filename))?($mes=unlink($filename)?'删除成功':'删除失败 查看权限'):''
  180.    echo $mes
  181.    exit(); 
  182. }else
  183.    echo '密码错误!'
  184.    exit
  185. function Jump($file)//跳过文件 
  186. global $jump,$safearr
  187. if($jump != ''
  188.     foreach($safearr as $v
  189.     { 
  190.    if($v==''continue
  191.    iferegi($v,$file) ) return true ; 
  192.     } 
  193. return false; 
  194. ?> 
  195. <a href="scandir.php">[查看文件改动]</a>|<a href="scandir.php?savethis=1">[保存当前文件指纹]</a>|<a href="scandir.php?check=check">[扫描可疑文件]</a> 

执行后能看到最近被修改的文件,具有参加价值

3.修改php.ini,限制以下函数

 

  1. disable_functions =  phpinfo,system,passthru,shell_exec,exec,popen,proc_open,chroot,scandir,chgrp,chown 

4.修改nginx.conf ,限制一些目录执行php文件

 

  1. server 
  2.     listen       80; 
  3.     server_name  www.***.com; 
  4.     index   index.htm index.html index.php; 
  5.     root  /wwwroot/; 
  6.      
  7.  
  8.        
  9.     rewrite ^([^\.]*)/topic-(.+)\.html$ $1/portal.php?mod=topic&topic=$2 last; 
  10.     rewrite ^([^\.]*)/article-([0-9]+)-([0-9]+)\.html$ $1/portal.php?mod=view&aid=$2&page=$3 last; 
  11.     rewrite ^([^\.]*)/forum-(\w+)-([0-9]+)\.html$ $1/forum.php?mod=forumdisplay&fid=$2&page=$3 last; 
  12.     rewrite ^([^\.]*)/thread-([0-9]+)-([0-9]+)-([0-9]+)\.html$ $1/forum.php?mod=viewthread&tid=$2&extra=page%3D$4&page=$3 last; 
  13.     rewrite ^([^\.]*)/group-([0-9]+)-([0-9]+)\.html$ $1/forum.php?mod=group&fid=$2&page=$3 last; 
  14.     rewrite ^([^\.]*)/space-(username|uid)-(.+)\.html$ $1/home.php?mod=space&$2=$3 last; 
  15.     rewrite ^([^\.]*)/([a-z]+)-(.+)\.html$ $1/$2.php?rewrite=$3 last; 
  16.     rewrite ^([^\.]*)/topic-(.+)\.html$ $1/portal.php?mod=topic&topic=$2 last; 
  17.          
  18.  
  19.         location ~ ^/p_w_picpaths/.*\.(php|php5)$ 
  20.                 { 
  21.               deny all; 
  22.                 } 
  23.  
  24.         location ~ ^/static/.*\.(php|php5)$ 
  25.                 { 
  26.                deny all; 
  27.                 } 
  28.  
  29.         location ~* ^/data/(p_w_upload|avatar)/.*\.(php|php5)$ 
  30.             { 
  31.                 deny all; 
  32.             } 
  33.  
  34.     location ~ .*\.(php|php5)?$ 
  35.     {       
  36.       fastcgi_pass  127.0.0.1:9000; 
  37.       fastcgi_index index.php; 
  38.       include fcgi.conf; 
  39.     } 
  40.      
  41.          
  42.  
  43. error_page  400 /404.html; 
  44. error_page  403 /404.html; 
  45. error_page  404 /404.html; 
  46. error_page  405 /404.html; 
  47. error_page  408 /404.html; 
  48. error_page  410 /404.html; 
  49. error_page  411 /404.html; 
  50. error_page  412 /404.html; 
  51. error_page  413 /404.html; 
  52. error_page  414 /404.html; 
  53. error_page  415 /404.html; 
  54. error_page  500 /404.html; 
  55. error_page  501 /404.html; 
  56. error_page  502 /404.html; 
  57. error_page  503 /404.html; 
  58. error_page  506 /404.html; 
  59.  
  60.  
  61. log_format  acclog    "$remote_addr $request_time $http_x_readtime [$time_local] \"$request_method http://$host$request_uri\" $status $body_bytes_sent \"$http_referer\" \"$http_user_agent\""; 
  62.         access_log  /logs/access.log  acclog; 

 此处需要注意的是,

 

  1. location ~ ^/p_w_picpaths/.*\.(php|php5)$ 
  2.         { 
  3.   deny all; 
  4.         } 

 这些目录的限制必须写在

 

  1. location ~ .*\.(php|php5)?$ 
  2. {       
  3.   fastcgi_pass  127.0.0.1:9000; 
  4.   fastcgi_index index.php; 
  5.   include fcgi.conf; 

的前面,否则限制不生效