最近接手了一个朋友的网站,已经运行了两年多的时间了,是用的DEDECMS程序(大家都懂,漏洞非常多),我朋友这网站长期被人黑,我接手以后,虽然做了非常多的安全加固工作,但是也是同样的遭遇,本人对DEDECMS程序不够了解,没办法,查日志吧,NGINX只保存运行PHP的日志,通过日志找出我朋友这网站上之前被人加入的后门,但后来我发现,光看日志是不够的,黑客通过后门进来,又上传了N多后门到服务器,我找出这个,但找不出黑客上传的那些后门,没办法,只有通过PHP再做限制–让PHP无法修改文件的时间,然后我每一个小时执行一次函数,找出最近被修改的文件,这里来记录一下本人做的操作
1、首先,禁用PHP修改文件时间的函数(TOUCH)
直接编辑php.ini
在disable_functions禁用函数后面加上touch
2、重启php-fpm
3、记录修改文件脚本
find /data/www/www.demain.com -mtime 0 -name "*.php" > /data/txt/`date +%Y%m%d%H`.txt
然后把这个脚本加入到任务计划,每天运行一次即可
PHP touch() 函数
参数 描述
filename 必需。规定要接触的文件。
time 可选。设置时间。默认是当前系统时间。
atime 可选。设置访问时间。默认是当前系统时间
说明:尝试将由 filename 给出的文件的访问和修改时间设定为指定的时间。如果没有设置可选参数 time,则使用当前系统时间。如果给出了第三个参数 atime,则指定文件的访问时间会被设为 atime 。
看似很简单的一句话,或许都能给人以启发,支持一小下