文章目录
1 系统漏洞
这里说下,项目从开发到部署,会使用到各种技术,不管是中间件,还是一些操作系统,都有可能成为渗透的一个点。
操作系统通常有些低级用户口令、端口漏洞等,不用的端口尽量都关掉。除非遇到ddos,那就没办法了。
尽量使用最新的被维护的版本,凡是漏洞,都会被公布出来,如果使用旧版本,懂点的hack几乎一个扫描过去,我方防御就会崩溃。
2 扫描php后门
php后门居多,当然也有其他病毒
搜索是否已经被写后门
find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))" > /tmp/php.txt
grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt
grep -r --include=*.php 'file_put_contents(.*$_POST[.*]);' . > /tmp/file_put_contents.txt
查看
cat /tmp/php.txt
cat /tmp/eval.txt
cat /tmp/file_put_contents.txt
自己的服务没有php的话,如果这是或出现的话,八成就是后门,按照文件内的结果再去深入查看,删除即可
删除
rm -rf /tmp/php.txt
rm -rf /tmp/eval.txt
rm -rf /tmp/file_put_contents.txt
3 nginx防御
概述:hack再攻击我方服务器的时候,一般都会选择使用kali中的各种扫描工具,或其他自动脚本,对所有路由扫描排查,尤其是 /admin之类的敏感路由,当然大规模扫描也容易在日志中分析出来,访问量统计会非常明显,个人在接触网络安全后,发现很多脚本喜欢扫描php后台
项目部署后,如果不是因为基础错误而崩溃的话,往往是被人大规模扫描了
作用:直接阻止请求到后端服务器
禁止所有php、ashx、asp、jsp等不需要使用到的后端技术,在location中添加
# 针对php
if ($request_uri ~* (.*)\.php) {
return 301 https://www.baidu.com;
}
# 针对ashx
if ($request_uri ~* (.*)\.ashx) {
return 301 https://www.baidu.com;
}
4 数据库
通过有sql注入等,也就是get、post、以及资源,所传到后端的数据与数据库有关联的数据,必须在后端做安全校验。否则,我方防御不到一分钟就会被攻破。
5 架构
不管啥架构,底层尽量使用容器docker、k8s, 这样即使hack攻破我方防御,也仅仅是当前容器内部所涉及的重要信息,及时改掉就行,不会牵扯到其他项目。
<p><h3>文章目录</h3><ul><ul><li><a href="#1__2">1 系统漏洞</a></li><li><a href="#2_php_7">2 扫描php后门</a></li><li><a href="#3_nginx_30">3 nginx防御</a></li><li><a href="#4__47">4 数据库</a></li><li><a href="#5__51">5 架构</a></li></ul></ul></p>
<h2><a id="1__2"></a>1 系统漏洞</h2>
<p>这里说下,项目从开发到部署,会使用到各种技术,不管是中间件,还是一些操作系统,都有可能成为渗透的一个点。<br />
操作系统通常有些低级用户口令、端口漏洞等,不用的端口尽量都关掉。除非遇到ddos,那就没办法了。<br />
尽量使用最新的被维护的版本,凡是漏洞,都会被公布出来,如果使用旧版本,懂点的hack几乎一个扫描过去,我方防御就会崩溃。</p>
<h2><a id="2_php_7"></a>2 扫描php后门</h2>
<p>php后门居多,当然也有其他病毒<br />
<strong>搜索是否已经被写后门</strong></p>
<pre><code class="lang-powershell">find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))" > /tmp/php.txt
grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt
grep -r --include=*.php 'file_put_contents(.*$_POST[.*]);' . > /tmp/file_put_contents.txt
</code></pre>
<p><strong>查看</strong></p>
<pre><code class="lang-powershell">cat /tmp/php.txt
cat /tmp/eval.txt
cat /tmp/file_put_contents.txt
</code></pre>
<p>自己的服务没有php的话,如果这是或出现的话,八成就是后门,按照文件内的结果再去深入查看,删除即可</p>
<p><strong>删除</strong></p>
<pre><code class="lang-powershell">rm -rf /tmp/php.txt
rm -rf /tmp/eval.txt
rm -rf /tmp/file_put_contents.txt
</code></pre>
<h2><a id="3_nginx_30"></a>3 nginx防御</h2>
<blockquote>
<p><strong>概述</strong>:hack再攻击我方服务器的时候,一般都会选择使用kali中的各种扫描工具,或其他自动脚本,对所有路由扫描排查,尤其是 /admin之类的敏感路由,当然大规模扫描也容易在日志中分析出来,访问量统计会非常明显,个人在接触网络安全后,发现很多脚本喜欢扫描php后台<br />
项目部署后,如果不是因为基础错误而崩溃的话,往往是被人大规模扫描了</p>
</blockquote>
<p><strong>作用</strong>:直接阻止请求到后端服务器</p>
<p>禁止所有<code>php</code>、<code>ashx</code>、<code>asp</code>、<code>jsp</code>等不需要使用到的后端技术,在<code>location</code>中添加</p>
<pre><code class="lang-powershell"># 针对php
if ($request_uri ~* (.*)\.php) {
return 301 https://www.baidu.com;
}
# 针对ashx
if ($request_uri ~* (.*)\.ashx) {
return 301 https://www.baidu.com;
}
</code></pre>
<h2><a id="4__47"></a>4 数据库</h2>
<p>通过有sql注入等,也就是<code>get</code>、<code>post</code>、以及资源,所传到后端的数据与数据库有关联的数据,必须在后端做安全校验。否则,我方防御不到一分钟就会被攻破。</p>
<h2><a id="5__51"></a>5 架构</h2>
<p>不管啥架构,底层尽量使用<code>容器docker</code>、<code>k8s</code>, 这样即使hack攻破我方防御,也仅仅是当前容器内部所涉及的重要信息,及时改掉就行,不会牵扯到其他项目。</p>
留言