Typecho最新漏洞的检查和预防

最近typecho紧急升级了1.1版本,目的是为了解决两个安全漏洞。具体细节自行百度。

而且今日发现,竟然有人来尝试扫我们的交流站,[怒]。。。这里简单提供几个检查和预防挂马的思路,供大家参考。

首先,我们需要做的第一件事,删掉有漏洞的php文件,譬如`install.php`,以免被再次挂马。

然后,检查是否已经中招:

1. 可以检查下access.log,是否有可疑请求

cat /path/to/access.log| grep “install.php”

![检测typecho挂马1.png][1]

如上图,明显可以看到有一些脚本小子的扫描行为。

2. 可以简单检查下网站目录下是否有可疑脚本,譬如:

find ./ -name “*.php” | xargs grep -i “eval(”

>PS: 这只是个很简单的检测方式哈,如果木马文件经过简单伪装,这个方法就可能不生效了,千万不要指望这两个命令就可以发现所有的问题。

如果发现可疑文件,清理掉即可。

最后,对于如何自动检测木马文件,这里也提供几个思路,供大家参考。

1. 如果你是用git来管理网站代码,那就最简单了,`conrtab`中定时`git status`一下,如果发现有多出的php文件,直接发邮件告警即可。

2. md5记录整站的文件指纹,并定时对比,如果发现有修改,立即邮件告警。

path_to_your_site=”/path/to/your/site/”
find $path_to_your_site -name “*.php” | xargs md5sum > /tmp/current_check.txt
diff /tmp/prev_check.txt /tmp/current_check.txt | awk ‘{print $3}’ | grep “php” && sendmail xxx
cp /tmp/current_check.txt /tmp/prev_check.php

将此脚本保存为`check_files.php`,并配置到crontab中,定时检测。

3. 当然,有米的同学,可以试下阿里的安全骑士云盾系统,总体来说效果还是很不错,基本可以第一时间检测出常见的木马文件

[1]: https://www.typechodev.com/usr/uploads/2017/10/3302020384.png

上一篇 2017-09-30 上午10:44
下一篇 2017-11-30 上午1:25