应用于linux web服务器关于脚本安全方面
想法 利用到linux的cron　与 find　
每天都对比一下系统目录关键位置
当天的结果与前一天不同 即 发mail提示 防止未知的脚本漏洞注入的破坏

本人用 shell下 初级解决
大至 用cron每天 早上3点
运行 find / -group apache -name "*.php" >/XXX/XXX.log
(把ap组的所有.php的文件找出来 通常找出来的都是我自己框架写出来的Cache　没改项目程序下基本结果不会变)

对比前一天结果 相同即false    不同 即true 然后 sendmail 给自己邮箱 收到信后进行人工排查(这一部分用 shell里运行php脚本来写的)


还有没有人有更好更直接的能实现的想法 奖赏贴发不了 能解决给1000元(论坛币)

[ 本帖最后由 scloud 于 2008-1-19 11:14 编辑 ]

为什么会被修改呢

引用:

原帖由 mars 于 2008-1-19 11:31 发表
为什么会被修改呢

被修改了就是可能让人注入脚本马了　
我今年我公司里的服务器 让我排查到了4起以上了

[ 本帖最后由 scloud 于 2008-1-19 11:35 编辑 ]

有人让我给你个建议
就是 不要给予不脚本执行容器去修改那些目录的权限

你的能力还真弱
@scloud:既然你的程序都不会运用到规定文件和地址以外的区域,那么你为什么还要赋予脚本解释容器操作那些规定以外区域的权限呢?

年轻人...于其想被黑了后怎么办...还不如想想怎么不被黑

正因为考虑被黑了后怎么收拾残局...在怎么样防止被黑的方面你花的时间才不够用吧

LS的两位 服务器可不是单机 关闭了所有端口 目录全655了才好  有些项目可非得 目录得777　端口也非得开放  这东西像一个双面刃
以上所做的并不是对被黑了怎么办的做法 而是排查未知的bug ( 像exec()函数 opendir()函数 都得开放 )
世上不存在完全安全的服务器(有端口开放出来 就有洞 ms gg 也常让人钻进去? )   
我顶楼的方案只是在别人利用未知的漏洞进入以能以第一时间排查解除
(当然～！　以SSH等telnet shell方式的 　那别当别论)

[ 本帖最后由 scloud 于 2008-1-19 13:54 编辑 ]

从这些内容上来说...你真的是新手...

世界上绝对安全的服务器多的去了

只不过你对安全的理解不到位而已

当别人没有你的程序的时候

别人如何去挖掘0day?

端口能开确实应该开着...但是端口开着就代表会被攻击吗?

不见得...次世代的操作系统的内存分配和函数入口都是动态的

任何内存操作都是有前置检测的...没有任何黑客有能力获知攻击代码应该如何覆盖才能有效...甚至不知道代码如何覆盖才能合法的逃避操作系统的前置检测

有些项目非得目录777不可...mvc这个概念是干什么用的?中间件是不是又是垃圾发明?

把该放到什么地方的东西放到什么地方...哪怕是一个文件...也可以分置到多个目录...

像你顶楼那种简单要求的项目有数十种之多...你居然完全都不知道有专门的应用...可见你确实是年轻人啊

需要什么提供什么...这个概念不仅仅对项目有效...对项目中的模块...功能实现组件等都是有效的...

你需要开放什么函数我了解...但是你要确定你开放这个函数有什么用...开放给谁...不需要使用那些函数的功能你就可以针对性的人为的隔离出来

开源的特点是部署的灵活性...

简单的来说...你知道开放某个函数很危险

但是你必须的开放这个函数的时候

你改个函数名后编译好继续用就可以了

黑客是不可能前置获悉这些消息的

PS:"正因为你说"没改项目程序下基本结果不会变"

我才直接告诉你限制权限

你对你自己的项目的控制能力

并不强啊"

BTW:"绝大多数的程序都是带着BUG跑的

安全绝对不能说是脱离BUG的环境

而是如何让任何可能出现的BUG无法被利用

刻意的剔除BUG是愚蠢的做法

而在设计初期就做好隔离BUG的构架方式

才是最明智的选择"

[ 本帖最后由 血色眼泪 于 2008-1-19 14:23 编辑 ]