Typecho最新漏洞的检查和预防

最近typecho紧急升级了1.1版本,目的是为了解决两个安全漏洞。具体细节自行百度。

而且今日发现,竟然有人来尝试扫我们的交流站,[怒]。。。这里简单提供几个检查和预防挂马的思路,供大家参考。

首先,我们需要做的第一件事,删掉有漏洞的php文件,譬如install.php,以免被再次挂马。

然后,检查是否已经中招:

  1. 可以检查下access.log,是否有可疑请求

    cat /path/to/access.log| grep "install.php"
    

    Typecho最新漏洞的检查和预防

    如上图,明显可以看到有一些脚本小子的扫描行为。

  2. 可以简单检查下网站目录下是否有可疑脚本,譬如:

    find ./ -name "*.php" | xargs grep -i "eval("

PS: 这只是个很简单的检测方式哈,如果木马文件经过简单伪装,这个方法就可能不生效了,千万不要指望这两个命令就可以发现所有的问题。

如果发现可疑文件,清理掉即可。

最后,对于如何自动检测木马文件,这里也提供几个思路,供大家参考。

  1. 如果你是用git来管理网站代码,那就最简单了,conrtab中定时git status一下,如果发现有多出的php文件,直接发邮件告警即可。

  2. md5记录整站的文件指纹,并定时对比,如果发现有修改,立即邮件告警。

    path_to_your_site="/path/to/your/site/"
    find $path_to_your_site -name "*.php" | xargs md5sum > /tmp/current_check.txt
    diff /tmp/prev_check.txt /tmp/current_check.txt | awk '{print $3}' | grep "php" && sendmail xxx
    cp /tmp/current_check.txt /tmp/prev_check.php
    

    将此脚本保存为check_files.php,并配置到crontab中,定时检测。

  3. 当然,有米的同学,可以试下阿里的安全骑士云盾系统,总体来说效果还是很不错,基本可以第一时间检测出常见的木马文件


版权声明:未经书面授权禁止转载、摘编、复制或建立镜像。对既成事实本站将保留所有的权利。