Apache/PHP环境，怎么防止WebShell啊！！头疼！

aorons

web服务器，现在用WSO这个WebShell看了一下

它可以直接查看 /etc/passwd，服务器上的所有用户都暴露了！一天到晚被猜密码，浪费资源！

我已经禁止了这些PHP函数：show_source, system, shell_exec, popen, proc_open, php_uname, passthru, popen 还是没用！

我把SSH的端口都改了，用WebShell居然直接可以查看 /etc/init.d/iptables 规则。白改了！

现在我把 /etc/init.d/iptables 设置成700了，请问这样会有什么问题吗？

请问怎么设置目录的权限，才能最大化防止WebShell查看啊！

DiDeCrouse

/etc/passwd,/etc/init.d目录本来就是所有用户都可以访问的。

与其设置webshell的权限，不如做好web的安全开发，关闭不安全方法；；做好输入校验，输出编码，防止SQL注入，跨站脚本，XSS；以及安全配置，关闭web容器控制台……
另外就是要做好操作系统的安全防护，用户名密码不能太简单，增加防火墙
只要你的webshell不被非法获取，不额外设置webshell有什么关系。

chenyx

webshell那个目录做下apache的认证.

vermouth

chroot ？

aorons

回复 2# DiDeCrouse

这样治标不治本，现在webshell市场上，一大堆dede成了肉鸡！谁能保证自己的程序100%安全？

万一被上传了webshell，所有目录、服务器所有用户、防火墙规则暴露无疑~

这么严重的问题，怎么都没人关注吗？

matrixy

1，换用NGINX，建立PHP执行的白名单机制，未指定的PHP文件无执行权限。
2，修改PHP文件属主权限，比如PHP文件以WWW用户执行，那么将PHP文件的属主改为nobody或其它的，文件权限修改为-r--r--r-x，这样即使你的WEB项目上己经有WEBSHELL了，那也不能再对其它PHP文件进行修改渗透，再配上PHP的白名单，同时也不能建立新的PHP文件去渗透。
3，对于重要的目录或项目，比如内部管理方面的，限定于IP去访问吧。

其它的，做好文件访问的日志检查，定期的看看有没有未授权的PHP文件的访问。定期看看有没有文件被修改过了之类的。

PPPS：最好不要使用开源的那些项目，比如DEDE之流，BUG无数，公司有能力自己做的都自己做的好。。。