最近typecho紧急升级了1.1版本，目的是为了解决两个安全漏洞。具体细节自行百度。

而且今日发现，竟然有人来尝试扫我们的交流站，[怒]。。。这里简单提供几个检查和预防挂马的思路，供大家参考。

首先，我们需要做的第一件事，删掉有漏洞的php文件，譬如install.php，以免被再次挂马。

然后，检查是否已经中招：

1. 可以检查下access.log，是否有可疑请求

   cat /path/to/access.log| grep "install.php"
   

   

   如上图，明显可以看到有一些脚本小子的扫描行为。

2. 可以简单检查下网站目录下是否有可疑脚本，譬如：

   find ./ -name "*.php" | xargs grep -i "eval("

PS: 这只是个很简单的检测方式哈，如果木马文件经过简单伪装，这个方法就可能不生效了，千万不要指望这两个命令就可以发现所有的问题。

如果发现可疑文件，清理掉即可。

最后，对于如何自动检测木马文件，这里也提供几个思路，供大家参考。

1. 如果你是用git来管理网站代码，那就最简单了，conrtab中定时git status一下，如果发现有多出的php文件，直接发邮件告警即可。

2. md5记录整站的文件指纹，并定时对比，如果发现有修改，立即邮件告警。

   path_to_your_site="/path/to/your/site/"
   find $path_to_your_site -name "*.php" | xargs md5sum > /tmp/current_check.txt
   diff /tmp/prev_check.txt /tmp/current_check.txt | awk '{print $3}' | grep "php" && sendmail xxx
   cp /tmp/current_check.txt /tmp/prev_check.php
   

   将此脚本保存为check_files.php，并配置到crontab中，定时检测。

3. 当然，有米的同学，可以试下阿里的安全骑士云盾系统，总体来说效果还是很不错，基本可以第一时间检测出常见的木马文件

版权声明:未经书面授权禁止转载、摘编、复制或建立镜像。对既成事实本站将保留所有的权利。