【web服务配置安全】防止webshell的一个想法,寻找实现方法!!

最近小弟配置一个新的服务器,把公司网站的老掉牙的服务器替换掉,需要把网站的文件全部转移过来。

原网站里几乎都是PHP文件,有phpcms、discuz全混在一起,这两个开源产品不断出漏洞,网站里可能存在webshell,老板让我彻底清除后转移到新的服务器上。

看了几天的代码,搜索后门,发现不少漏洞和后门,能清除的都清除了。哎。

新服务器环境配置 Centos5.5  Apache Mysql PHP ,配置过程突然有个想法,其实就是担心还有可能没有清除干净的webshell

运行Apache的用户和用户组为:apache

如果能实现指定的用户和用户组(FTPUSER、FTPGROUP)能执行PHP程序,可用suPHP实现,其他用户组一律不允许执行。也就想实现网站上的程序代码只能通过FTP修改。

FTP上传一个webshell
  1. -rw-r--r-- 1 ftpuser ftpgroup 119363 Feb 27 23:46 phpshell.php
复制代码
浏览器访问phpshell.php创建的新文件 t.php
  1. -rw-r--r-- 1 ftpuser ftpgroup     20 Feb 27 21:17 t.php
复制代码
大家注意看 t.php 的属主 和 phpshell.php 的属主一样,是否能实现使用  phpshell.php 上传的文件的文件属主是apache apache 就达到我预想的目的了。

能否实现?请大侠不吝赐教,恳首!

作者: KissNoway   发布时间: 2011-02-28

如果禁用suPHP后,使用phpshell.php创建新文件文件属主是apache apache,但就是无法控制只能允许特定的用户组执行PHP程序。矛盾啊!!!

作者: KissNoway   发布时间: 2011-02-28