【web服务配置安全】防止webshell的一个想法，寻找实现方法！！

KissNoway

最近小弟配置一个新的服务器，把公司网站的老掉牙的服务器替换掉，需要把网站的文件全部转移过来。

原网站里几乎都是PHP文件，有phpcms、discuz全混在一起，这两个开源产品不断出漏洞，网站里可能存在webshell，老板让我彻底清除后转移到新的服务器上。

看了几天的代码，搜索后门，发现不少漏洞和后门，能清除的都清除了。哎。

新服务器环境配置 Centos5.5  Apache Mysql PHP ，配置过程突然有个想法，其实就是担心还有可能没有清除干净的webshell

运行Apache的用户和用户组为：apache

如果能实现指定的用户和用户组（FTPUSER、FTPGROUP）能执行PHP程序，可用suPHP实现，其他用户组一律不允许执行。也就想实现网站上的程序代码只能通过FTP修改。

FTP上传一个webshell

1. -rw-r--r-- 1 ftpuser ftpgroup 119363 Feb 27 23:46 phpshell.php

复制代码

浏览器访问phpshell.php创建的新文件 t.php

1. -rw-r--r-- 1 ftpuser ftpgroup     20 Feb 27 21:17 t.php

复制代码

大家注意看 t.php 的属主 和 phpshell.php 的属主一样，是否能实现使用  phpshell.php 上传的文件的文件属主是apache apache 就达到我预想的目的了。

能否实现？请大侠不吝赐教，恳首！

KissNoway

如果禁用suPHP后，使用phpshell.php创建新文件文件属主是apache apache，但就是无法控制只能允许特定的用户组执行PHP程序。矛盾啊！！！