资源服务器被黑排查

一.简介

环境： 资源服务器是Nginx和php组成的服务，用户可以http://192.168.1.100/one.jpg方式获取图片。只有负载均衡服务器才有外网地址，并且防火墙只允许80端口访问。

起因： 早上10点半，在查看资源服务器的文件目录时，发现多了一个pc.php，问了一圈发现没人知道这个文件。

二.排查

1.查了一下创建时间和权限，发现是今天早上9点的，权限是www-data，也就是nginx的用户，nginx是禁止登陆的，这就说明可能是通过nginx创建的。

2.查看2台资源服务器的日志，查看负载均衡的也行。可以发现POST提交了脚本，GET去获取脚本，因为资源服务器是安装了php的，访问pc.php，nginx会默认交给php-fpm去执行脚本，从而触发脚本，就像访问https://www.baidu.com/木马.php一样，要是没做一些限制就会运行脚本。

3.通过ps -aux查看发现很多异常进程。查看/tmp目录也发现很多奇怪的文件。通过删除这些东西和重做系统解决，这次危害较小，没有控制其它机器，因为无法登陆，对方也没有提权到root登陆系统做更大危害，但也要注重安全。

三.解决办法

这次只到资源服务器也是因为大体策略做的没问题，对方顶多是传个脚本而没法做更多操作，本次问题很清晰是程序没有做上传限制导致的，禁用post传送文件即可，也可以在nginx上配置禁止执行php文件，只能获取js|css|jpg等文件。