如何查linux的nginx是否被挂马

查出Linux下网站哪些文件被挂马的办法~

重点是template目录下的模板文件被让写入..设置下这个目录的权限吧

1.[root@localhost ~]# ps -ef grep nginx看是否存在主进程和php-fpm子进程nginx: master process00:00:00 php-fpm:xxx2.查看nginx监听的端口是否存在[root@localhost ~]# netstat -tlnupgrep nginxtcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 12891/nginx3.如果nginx已经做成服务[root@localhost ~]# service nginx statusnginx (pid 12891) 正在运行...看是否正在运行

linux系统相对比windows安全，但是有些程序上的不安全行为。不管你是什么系统，一样也会存在危险因素，在这里，我们总结出了linux系统下的一些常见排除木马和加固系统安全性的方法。

1、改变目录和文件属性，禁止写入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;

注：当然要排除上传目录、缓存目录等；
同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件

2、php的危险配置
禁用一些危险的php函数，例如：

passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,popen,dl,
syslog,show_source

3、nginx安全方面的配置

限制一些目录执行php文件

location~^/images/.*\.(php|php5)$
{
denyall;
}

location~^/static/.*\.(php|php5)$
{
denyall;
}

location~*^/data/(attachment|avatar)/.*\.(php|php5)$
{
denyall;
}

注：这些目录的限制必须写在

location~.*\.(php|php5)$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}

的前面，否则限制不生效!
path_info漏洞修正：
在通用fcgi.conf顶部加入

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}

4、linux系统下查找php的相关木马

php木马一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>

find /data/wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /root/scan.txt

另外也有上传任意文件的后门,可以用上面的方法查找所有包括"move_uploaded_file"的文件.

还有常见的一句话后门：

grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > grep.txt

把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

5、查找近3天被修改过的文件：

find /data/www -mtime -3 -type f -name \*.php

注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

6、查找所有图片文件

查找所有图片文件gif,jpg.有些图片内容里被添加了php后门脚本.有些实际是一个php文件,将扩展名改成了gif了.正常查看的情况下也可以看到显示的图片内容的.这一点很难发现.

曾给客户处理过这类的木马后门的.发现在php脚本里include一个图片文件,经过查看图片文件源代码,发现竟然是php脚本.

好了。安全加固你的php环境是非常重要的运维工作，大家还有什么其他加固安全的好方法，可以拿过来分享一下。

提示：如果上面显示空白或者页面排版混乱、内容显示不完整等影响阅读的问题，请点击这儿浏览原文

返回脚本百事通首页 如果您喜欢脚本编程技术，欢迎加入QQ群：246889341，在群里认识新朋友和交流技术^_^
Linux下查找后门程序
每个进程都会有一个PID，而每一个PID都会在/proc目录下有一个相应的目录，这是Linux（当前内核2.6）系统的实现。

一般后门程序，在ps等进程查看工具里找不到，因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚（网上流传着大量的rootkit。假如是内核级的木马，那么该方法就无效了）。
因为修改系统内核相对复杂（假如内核被修改过，或者是内核级的木马，就更难发现了），所以在/proc下，基本上还都可以找到木马的痕迹。

思路：
在/proc中存在的进程ID，在 ps 中查看不到（被隐藏），必有问题。
Bash Shell:
#!/bin/bash
str_pids="`ps -A | awk '{print $1}'`"
for i in /proc/[[:digit:]]*; do
if echo "$str_pids" | grep -qs `basename "$i"`; then
:
else
echo "Rootkit's PID: $(basename "$i")"
fi
done

讨论：
检查系统(Linux)是不是被黑，其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说，要想剔除干净，将是一件分精密、痛苦的事情，通常这种情况，需要用专业的第三方的工具（有开源的，比如tripwire，比如aide）来做这件事情。
而专业的工具，部署、使用相对比较麻烦，也并非所有的管理员都能熟练使用。

实际上Linux系统本身已经提供了一套“校验”机制，在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能：
rpm -Va
即可校验系统上所有的包，输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了，比如被修改过。

---

洛浦县17069205020： 如何用linux命令查看nginx是否在正常运行? - ？
晋蕊悦而： Linux每个应用运行都会产生一个进程,那么我们就可以通过查看Nginx进程是否存在来判断它是否启动.1、有时想知道nigix是否在正常运行,需要用linux命令查看nginx运行情况.执行命令:ps -A | grep nginx.如果返回结果的话,说明有nginx...

洛浦县17069205020： linux下查端口是否被占用,查看所有端口 - ？
晋蕊悦而： 查看端口是否被占用:netstat -anp | grep port lsof -i:port查看端口被那个进程占用:netstat -anp | grep port或使用 lsof -i:port显示结果的有进程id,再ps -ef | grep pid即可查看进程(如java进程)使用的端口:ps -aux | grep java找到pid再lsof -i | grep pid或使用netstat -anp | grep pid即可

洛浦县17069205020： 如何查看自己有没有安装nginx - ？
晋蕊悦而： Linux环境下,怎么确定Nginx是以那个config文件启动的? 输入命令行: ps -ef | grep nginx 摁回车,将出现如下图片:master process 后面的就是 nginx的目录. 怎么查看服务器上安装的nginx版本号,主要是通过ngix的-v或-V选项,查看方法如下图所示:-v 显示 nginx 的版本. -V 显示 nginx 的版本,编译器版本和配置参数.

洛浦县17069205020： 查看web服务器nginx是否在运行 有几种方法 - ？
晋蕊悦而： linux下web服务器常用的一般就apache、nginx # rpm -qa |grep apache # rpm -qa |grep nginx 以上是查看是否安装了rpm包,如果没有 # chkconfig --list 列出系统服务的运行

洛浦县17069205020： nginx for linux 所需库支持. nginx需要那些库的支持,如何在linux查看是否安装了这些库,谢谢 - ？
晋蕊悦而： 用whereis命令查找: 比如查找是否安装了Gedit: math@Chang:~$ whereis gedit gedit: /usr/bin/gedit /usr/share/man/man1/gedit.1.gz //安装了 math@Chang:~$ whereis apache apache: //未安装 或者使用whatis math@Chang:~$ whatis gedit gedit ...

洛浦县17069205020： 怎么查看nginx 是否启动呢 - ？
晋蕊悦而： 执行命令: ps -A | grep nginx 如果返回结果的话,说明有nginx在运行,服务已经启动

洛浦县17069205020： Linux下怎么确定Nginx安装目录 - ？
晋蕊悦而： 看你的nginx是否启动了?如果启动了,用ps -efgrep nginx可以查看到nginx运行目录 如果没有启动,用find / -name nginx查看

洛浦县17069205020： linux 下查看ngin配置tomcat,怎么确定nginx已经在监听tomcat了 - ？
晋蕊悦而： 在 nginx 的配置文件 nginx.conf 里面 有一段指定 tomcat 的代码: 然后从浏览器访问,但是不要带端口号: 因为配置比例默认是 1:1 所以就按照相同的权重去访问两个端口

洛浦县17069205020： 如何查看linux 下 nginx配置 - ？
晋蕊悦而： Linux环境下,怎么确定Nginx是以那个config文件启动的? 输入命令行: ps -ef | grep nginx 摁回车,将出现如下图片:master process 后面的就是 nginx的目录.