前段時間，服務器上的一個小站被掛了木馬。服務器使用的centos+nginx+php，程序使用的Didcuz和UChome。本來這個網站沒什么訪問量，居然還被黑客盯上了，還好每天都有備份，沒有造成什么損失。不過還是挺感謝黑客，幫我檢驗的服務器的安全漏洞，從而進一步加強服務器的安全防護。
現將服務器的一些安全防護分享一下~~~

1、服務器本身的安全

安裝denyhost，防止SSH的暴力破解，具體安裝方法參考《denyhost防止SSH暴力破解，保護你的linux》一文。
另外對系統的一些重要文件添加一個i權限
比如:
# chattr +i /etc/passwd
# chattr +i /etc/group
# chattr +i /etc/shadow
# chattr +i /etc/gshadow
# chattr +i /etc/ssh/sshd_config

2、nginx和php的安全

(1)對discuz/attachments,uchome/attachment,ucenter/data/tmp等用戶上傳的目錄，限制php程序。centos+nginx本身應該比較安全的，一般的黑客都是利用webshell來入侵。
在nginx的配置文件里面添加
location ~ .*\.(php|php5)?$ {
.......
#------------------------------------------
rewrite ^/(uc\_client|templates|include|plugins|admin|attachments|images|
forumdata)/.*\.(php|php5)?$ /50x.php last;
#-------------------------------------------
}

(2)修改php.ini
查找：disable_functions
找到后在=后面添加
exec,system,passthru,error_log,ini_alter,dl,openlog,syslog,readlink,symlink,link,leak,fsockopen,proc_open,
popepassthru,chroot,scandir,chgrp,chown,escapeshellcmd,escapeshellarg,shell_exec,proc_get_status,popen
這里都是禁止在php里面執行的函數

(3)對一些重要而且不需要修改的文件添加i權限，方法同《1、服務器本身的安全》部分

3、如何查找服務器中的php木馬

PHP木馬的最明顯特征是使用了eval與base64_decode這個函數，我們可以這么查找

find /var/www/ -type f -name "*.php" | xargs grep "eval(" |more

如果發現這樣的字樣，多半是木馬程序
eval(base64_decode(..............));

查找一下自己的服務器有沒有木馬吧~~~

關健詞：查殺，PHP