背景:网站被挂马,并且被改动了index.php。导致显示的入口文件为挂马文件
1、查看被攻击的当天的访问日志。
tail www.***-access_log如图所示,我们看到日志的日期格式为[31/Jan/2019]
然后过滤到当天的查询日志,并保存文件
cat www.***-access_log | grep "30/Jan/2019" > /tmp/2019-01-30.log2、打开下载的文件,因为Thinkphp5是不存在.php文件的执行,然后我们就可以在日志文件查询.php文件执行记录
根据截图我们可以看到很多木马文件,然后我们一个个去清理这些文件。
然后我们有个疑问?这些文件从哪里进来的?
带着这个文件我去查了一下原来有个ckplayer播放器,这个播放器带有flash。
攻击者是通过flash来把文件上传上来,然后我们就把这个入口也清掉。
3、下载并查看木马文件。
下载并查看木马文件,发现是通过eval来执行脚本。
4、禁用掉eval函数。
eval函数是通过zend来实现的,所以不能用php.ini直接关闭掉。
要通过suhosin扩展来禁用
wget https://download.suhosin.org/suhosin-0.9.38.tar.gz下载完并解压
tar -zxvf suhosin-0.9.38.tar.gz编译安装
/www/server/php/56/bin/phpize./configure --with-php-config=/www/server/php/56/bin/php-configmakemake install5、更改php.ini配置
extension="suhosin.so"
suhosin.executor.disable_eval = on重启服务器和php服务然后查看phpinfo即可