服务器安全运维记录：封堵php下的一句话木马，正确禁用php的eval的方法

一句话木马的破坏能力有多大，使用过的人相信很了解，没有使用过的人，可以看文章 一句话木马功能展示。

一句话木马功能展示

在服务器上，新建一个test.php文件，内容如下：（jsp，aspx，aps都有一句话木马，篇幅有限，不举例了。）

确认 www.xxxx.com/test.php可以被访问，再用“中国菜刀”等等工具就可以连接服务器，而且可以穿透WAF、防火墙、IPS等安全设备。方法就不展示了，自行百度。

看到上面的图，基本能明白，可以干什么了吧？是不是很恐怖?。直接就可以下载和更新/etc/passwd  ???

 

接下来，运维人员应该在么做呢？封掉eval()是最直接的方式。

---

php的eval函数并不是系统组件函数，因此我们在php.ini中使用disable_functions是无法禁止它的。

但是eval()对于php安全来说具有很大的杀伤力，因此一般不用的情况下建议禁用php的eval()函数。

正确禁用php的eval()的方法：使用php的扩展 Suhosin

Suhosin安装方法如下：https://www.suhosin.org/stories/download.html

yum install wget  make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils  patch perl

cd /usr/local/src
wget https://download.suhosin.org/suhosin-0.9.38.tar.gz
tar zxvf suhosin-0.9.38.tgz
cd suhosin-0.9.38

/usr/local/php/bin/phpize     #如果不知道在哪用find / -name phpize 
./configure  --with-php-config=/usr/local/php/bin/php-config
make & make install


vi /usr/local/php/etc/php.ini  #在最后一行添加以下内容
extension="suhosin.so"

打完收工，eval()无法使用了

记得service php-fpm restart