Typecho最新漏洞的检查和预防
最近typecho紧急升级了1.1版本,目的是为了解决两个安全漏洞。具体细节自行百度。
而且今日发现,竟然有人来尝试扫我们的交流站,[怒]。。。这里简单提供几个检查和预防挂马的思路,供大家参考。
首先,我们需要做的第一件事,删掉有漏洞的php文件,譬如install.php
,以免被再次挂马。
然后,检查是否已经中招:
可以检查下access.log,是否有可疑请求
cat /path/to/access.log| grep "install.php"
如上图,明显可以看到有一些脚本小子的扫描行为。
可以简单检查下网站目录下是否有可疑脚本,譬如:
find ./ -name "*.php" | xargs grep -i "eval("
PS: 这只是个很简单的检测方式哈,如果木马文件经过简单伪装,这个方法就可能不生效了,千万不要指望这两个命令就可以发现所有的问题。
如果发现可疑文件,清理掉即可。
最后,对于如何自动检测木马文件,这里也提供几个思路,供大家参考。
如果你是用git来管理网站代码,那就最简单了,
conrtab
中定时git status
一下,如果发现有多出的php文件,直接发邮件告警即可。md5记录整站的文件指纹,并定时对比,如果发现有修改,立即邮件告警。
path_to_your_site="/path/to/your/site/" find $path_to_your_site -name "*.php" | xargs md5sum > /tmp/current_check.txt diff /tmp/prev_check.txt /tmp/current_check.txt | awk '{print $3}' | grep "php" && sendmail xxx cp /tmp/current_check.txt /tmp/prev_check.php
将此脚本保存为
check_files.php
,并配置到crontab中,定时检测。当然,有米的同学,可以试下阿里的安全骑士云盾系统,总体来说效果还是很不错,基本可以第一时间检测出常见的木马文件
版权声明:未经书面授权禁止转载、摘编、复制或建立镜像。对既成事实本站将保留所有的权利。
评论已关闭