服务器使用的是 Debian 8 + LNMP,网站基于TP5开发,使用了Uploadify和Ueditor插件。
最近发现服务器上的一个网站被入侵挂码,将主页(index.php)篡改了,加入了一组 TKD标签和JS跳转代码,只允许从百度搜索结果过来的访问跳转到博采网站。
借助阿里云安全的检测,在网站public根目录、uploads以及ueditor文件夹中发现了数个被植入的php文件。
数据库和TP5的其它目录都没有问题,原因应该就是Uploadify和Ueditor插件,由于插件上传图片的需要,目录权限都是777,黑客可以绕过图片检测,将php文件上传。
由于目标没有其它可替换插件,目前的解决方法记录如下,在以目录中禁止PHP文件执行。
location /uploads/ {
location ~ .*\.(php)?$ {
deny all;
}
}
location /ueditor/ {
location ~ .*\.(php)?$ {
deny all;
}
}
