Linux服务器各种后门查杀

x33g5p2x  于2022-06-27 转载在 Linux  
字(1.2k)|赞(0)|评价(0)|浏览(274)

1 系统漏洞

这里说下,项目从开发到部署,会使用到各种技术,不管是中间件,还是一些操作系统,都有可能成为渗透的一个点。
操作系统通常有些低级用户口令、端口漏洞等,不用的端口尽量都关掉。除非遇到ddos,那就没办法了。
尽量使用最新的被维护的版本,凡是漏洞,都会被公布出来,如果使用旧版本,懂点的hack几乎一个扫描过去,我方防御就会崩溃。

2 扫描php后门

php后门居多,当然也有其他病毒
搜索是否已经被写后门

find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))" > /tmp/php.txt
grep -r --include=*.php  '[^a-z]eval($_POST' . > /tmp/eval.txt
grep -r --include=*.php  'file_put_contents(.*$_POST[.*]);' . > /tmp/file_put_contents.txt

查看

cat /tmp/php.txt
cat /tmp/eval.txt
cat /tmp/file_put_contents.txt

自己的服务没有php的话,如果这是或出现的话,八成就是后门,按照文件内的结果再去深入查看,删除即可

删除

rm -rf /tmp/php.txt
rm -rf /tmp/eval.txt
rm -rf /tmp/file_put_contents.txt

3 nginx防御

概述:hack再攻击我方服务器的时候,一般都会选择使用kali中的各种扫描工具,或其他自动脚本,对所有路由扫描排查,尤其是 /admin之类的敏感路由,当然大规模扫描也容易在日志中分析出来,访问量统计会非常明显,个人在接触网络安全后,发现很多脚本喜欢扫描php后台
项目部署后,如果不是因为基础错误而崩溃的话,往往是被人大规模扫描了

作用:直接阻止请求到后端服务器

禁止所有phpashxaspjsp等不需要使用到的后端技术,在location中添加

# 针对php
if ($request_uri ~* (.*)\.php) {
	return 301 https://www.baidu.com;
}
# 针对ashx
if ($request_uri ~* (.*)\.ashx) {
	return 301 https://www.baidu.com;
}

4 数据库

通过有sql注入等,也就是getpost、以及资源,所传到后端的数据与数据库有关联的数据,必须在后端做安全校验。否则,我方防御不到一分钟就会被攻破。

5 架构

不管啥架构,底层尽量使用容器dockerk8s, 这样即使hack攻破我方防御,也仅仅是当前容器内部所涉及的重要信息,及时改掉就行,不会牵扯到其他项目。

原文地址:https://www.920vip.net/article/171

相关文章