请问应该怎么正确设置只让某些文件夹能执行php

htwyqjj · 发表于 2012-8-28 11:48:20

因为有个网站有未知漏洞，经常会出现phpdos木马，删除以后还会出现，因为是新手，所以想请教大家几个问题
1、有办法可以找出别人是怎么上传木马的吗？查看网站日志可以看到吗？我原来用的虚拟机，查看日志搜索相关木马名并没有看到如何上传的，不知道vps的能不能看到。（系统是centos5.5）

2、我现在是设置了只让某些文件夹可以执行php文件，是修改网站的conf文件，修改如下：
location ~ /(blog|include).*\.(php|php5)?$ {
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fcgi.conf;
}
但是现在出现一个情况，访问那些没有执行权限下的php文件（包括一些有执行权限下的某些文件）会直接下载php源文件，这个有点太危险了吧。不知道应该怎么正确设置，
看到网上有设置禁止某些文件夹有php权限的方法：
location ~* ^/(attachments|upload)/.*\.(php|php5)${
deny all;
}
但是由于我是生成的静态文件，栏目很多所以如果按照禁止某些文件夹的方法那会有很多栏目，太麻烦了，如果添加了设置根目录禁止php执行，那么上面设置的那几个允许执行php的栏目又不行了。
请大家帮忙下，怎么样准确的设置某些文件夹可以执行php

3、想让某些文件夹不能修改、创建文件应该设置权限是多少啊？755貌似不行啊

4、有办法设置有效禁止phpdos木马？

请军哥和大家帮下忙木马太狠了不限制的话， vps立马不能访问php页面

[ 本帖最后由 htwyqjj 于 2012-8-28 12:01 编辑 ]

htwyqjj · 发表于 2012-8-28 12:16:06

难道3的问题需要设置成555吗？

licess · 发表于 2012-8-28 17:55:49

1被上传木马，按一般的php特征码找就行了

2不一定直接让他deny，也可以return 403 之类的

一般只设置上传目录不运行执行就行

3只能设置权限

4禁用 fsockopen() 函数就行了

htwyqjj · 发表于 2012-8-28 22:49:33

谢谢军哥的回答
1、通过特征找到木马但是还是不知道它是从什么途径上传的木马，能不能有方法通过查看日志什么的发现上传木马途径

2、我现在没有设置不让访问的文件夹 deny。我只设置了
location ~ /(blog|include).*\.(php|php5)?$ {
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fcgi.conf;
}
但是现在排除在外的文件夹中的php文件访问的话全成了下载。而且有些在以上可以执行php的文件夹中的php文件也变成了下载，是不是不能像我上面设置的这样只能让某些文件夹执行php，或者我写的错误了？

3、那设置不能创建文件的权限应该是多少啊？怎么设置啊军哥，谢谢

4、禁用fsockopen 好吧实在不行只能这样了

licess · 发表于 2012-8-29 07:56:38

日志不好办，日志太多

没设的是下载很正常啊，不能解析不久直接下载了

只读就444

htwyqjj · 发表于 2012-8-29 09:17:39

比如我知道了木马的名字我可以通过查看某个日志找出是什么途径上传这个木马的吗？

那么我应该怎么设置除了以上的几个文件夹可以执行php文件其他文件不能执行而且返回403而不是下载呢？谢谢军哥

哦原来那些静态文件不需要执行权限只需要444就可以了啊。
对了这里插一个问题，那比如说cms系统的生成静态文件，我设置成这个文件夹成555了，但是后台还是可以正常生成，这个就是因为有执行权限吗？

关于那个fsockopen的我看的都是通过修改 php.ini使整个服务器都禁用，能不能设置针对某个网站啊？

再次谢谢军哥

licess · 发表于 2012-8-29 11:10:54

这个不好说，你可以找找日志看看

最开我就说过了deny all 换成 return 403就行

生成伪静态这个不太了解

无法针对某个，php.ini是所有网站都共享的

htwyqjj · 发表于 2012-8-29 15:15:26

谢谢军哥的回复但恕我愚笨还要向你请教下
哪个将deny all 换成return 403 是指先添加网站根目录不能执行php吗？如下代码
location ~* ^/.*\.(php|php5)${
deny all;（这里换成 return 403）
}
然后再按上面说的添加可以执行php的目录的代码？
还是return 403放在其他地方？

还有我问的不是伪静态是直接生成静态文件的

谢谢军哥

licess · 发表于 2012-8-29 21:23:11

不执行的目录return 403

htwyqjj · 发表于 2012-8-29 21:54:22

军哥你还是没有看完我的问题

我就是因为是生成的静态文件所以会有很多文件夹如果设置不能执行php 那么需要设置的目录太多了
我才想只让其中几个文件夹可以执行php权限
才想到
location ~ /(blog|include).*\.(php|php5)?$                      {
try_files $uri =404;
fastcgi_pass  unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fcgi.conf;
}
但是这样的后果就是其他地方的php文件访问的话就会直接下载了
而如果同时只设置网站的根目录为deny all的话那么上面设置的几个可以执行php的文件夹  也不能执行了
请问军哥有办法吗

licess · 发表于 2012-8-30 13:20:55

没办法

htwyqjj · 发表于 2012-8-30 23:47:33

额没办法啊…… 郁闷了

		自动登录	找回密码
密码			注册

请问应该怎么正确设置只让某些文件夹能执行php

回复 3# 的帖子

军哥运维代购：http://shop63846532.taobao.com/

回复 5# 的帖子

回复 7# 的帖子

回复 8# 的帖子

回复 9# 的帖子

回复 10# 的帖子

回复 11# 的帖子