宝塔面板eval防护及木马发现(thinkphp5.0.23)

背景：网站被挂马，并且被改动了index.php。导致显示的入口文件为挂马文件

1、查看被攻击的当天的访问日志。

 tail www.***-access_log

如图所示，我们看到日志的日期格式为[31/Jan/2019]

然后过滤到当天的查询日志，并保存文件

cat www.***-access_log | grep "30/Jan/2019" > /tmp/2019-01-30.log

2、打开下载的文件，因为Thinkphp5是不存在.php文件的执行，然后我们就可以在日志文件查询.php文件执行记录

根据截图我们可以看到很多木马文件，然后我们一个个去清理这些文件。

然后我们有个疑问？这些文件从哪里进来的？

带着这个文件我去查了一下原来有个ckplayer播放器，这个播放器带有flash。

攻击者是通过flash来把文件上传上来，然后我们就把这个入口也清掉。

3、下载并查看木马文件。

下载并查看木马文件，发现是通过eval来执行脚本。

4、禁用掉eval函数。

eval函数是通过zend来实现的，所以不能用php.ini直接关闭掉。

要通过suhosin扩展来禁用

wget https://download.suhosin.org/suhosin-0.9.38.tar.gz

下载完并解压

tar -zxvf suhosin-0.9.38.tar.gz

编译安装

/www/server/php/56/bin/phpize

./configure --with-php-config=/www/server/php/56/bin/php-config

make

make install

5、更改php.ini配置

extension="suhosin.so"
suhosin.executor.disable_eval = on

重启服务器和php服务然后查看phpinfo即可