六、webshell木马的防范
1、加强服务器安全 ,ssh使用公钥登录,做IP限制,启用尽可能少的服务,更改部分应用的默认端口号(HTTP、HTTPS除外),防范通过其他端口号的漏洞上传动态脚本文件。
2、尽量不要有“在线编辑代码”这样的直接可以修改脚本文件代码的功能。
3、严防网站自身的文件上传功能,不对游客开放,核对好文件类型。上传的文件不要放到HTTP可以直接访问的路径目录下。如果必须http直接访问到,可把上传的文件放到一个新目录下,配一个二级域名的静态站点(新开虚拟主机),不让解析动态脚本。或者直接从Apache web服务器软件上禁止上传目录不解析PHP文件。
4、禁止使用最高权限用户运行程序,做好网站的目录权限分配。比如,在Linux下,Apache所属用户是www-data,分配www-data用户在上传目录(包括需要写权限的其他目录)可读可写权限,在网站程序目录下可读不可写的权限,服务器其他目录无权限。这样就算黑客成功上传了动态脚本并执行,但权限受限,也无法造成大的伤害。
5、直接关闭PHP部分危险函数的使用(eval、exec、system)、修改PHP等脚本语言的后缀。
6、系统所有的代码不要放到根目录
7、及时对程序文件打补丁