大流量卡

从nginx层阻断可执行的php 防止宝塔站点挂马

今天主机上多个网站又给人挂马了,前一久才把全部站点清干净,并加固了处理,好不容易过了半个月又中了,查看网站日志应该5.6环境出了问题,也没对应wap.php文件,想了一下还得从这里入手才行,因为使用宝塔,且网站多个,所以没法确定是哪个网站的漏洞。但可以确定的是对方上传了可执行的php文件。

从nginx层阻断可执行的php 防止宝塔站点挂马

方法
防止执行除入口文件(index.php)以外的其他php文件。

步骤
1、修改宝塔php配置文件

我用的是php5.6和php7.4,且大部分网站都有一个统一的入口index.php

先备份 /www/server/nginx/conf/enable-php-56.conf 为/www/server/nginx/conf/enable-php-56-origin.conf

再修改 /www/server/nginx/conf/enable-php-56.conf

location ~ 1.php(/|$)
{
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi-56.sock;
fastcgi_index index.php;
include fastcgi.conf;
include pathinfo.conf;
}
将上面的改为

只允许访问index.php

location = /index.php
{
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi-56.sock;
fastcgi_index index.php;
include fastcgi.conf;
include pathinfo.conf;
}

其他php都返回404

location ~ .*.(php)$
{
return 404;
}
2、确认伪静态配置文件

因为大部分网站是thinkphp的

location / {
if (!-e $request_filename){
rewrite ^(.*)/index.php?s=1 last; break;
}
}
验证
1、在站点的入口处建一个,tt.php

<?php

echo ‘test’;
访问 xxx.com/tt.php 则返回404

2、在入口处新建 test目录,并在test目录中建立index.php

<?php

echo ‘test/index.php’;
访问 xxx.com/test/index.php 则返回404

3、而网站的其他链接则都能正常访问。

© 版权声明
THE END
喜欢就支持一下吧
点赞11打赏 分享
评论 抢沙发

    暂无评论内容