②:windows主机的用户一般都是iis7、iis8情况,利用 web.config 文件来配置,请确认你的主机已经开启了伪静态并且网站根目次有 web.config 文件,有这个文件的可以复制以下代码添加到对应的rules内。
<rule name="Block data" stopProcessing="true"> <match url="^data/(.*).php$" /> <conditions logicalGrouping="MatchAny"> <add input="{USER_AGENT}" pattern="data" /> <add input="{REMOTE_ADDR}" pattern="" /> </conditions> <action type="AbortRequest" /> </rule> <rule name="Block templets" stopProcessing="true"> <match url="^templets/(.*).php$" /> <conditions logicalGrouping="MatchAny"> <add input="{USER_AGENT}" pattern="templets" /> <add input="{REMOTE_ADDR}" pattern="" /> </conditions> <action type="AbortRequest" /> </rule> <rule name="Block SomeRobot" stopProcessing="true"> <match url="^uploads/(.*).php$" /> <conditions logicalGrouping="MatchAny"> <add input="{USER_AGENT}" pattern="SomeRobot" /> <add input="{REMOTE_ADDR}" pattern="" /> </conditions> <action type="AbortRequest" /> </rule>③:Nginx下克制指定目次运行PHP剧本
留意:这段设置文件必然要放在 location ~ .php(.*)$ 的前面才可以生效,设置完跋文得重启Nginx生效。
location ~* /(a|data|templets|uploads)/(.*).(php)$ { return 403; }
测试有没有生效,可以随便建设一个PHP文件传到uploads文件夹下,执行:域名/uploads/测试文件.php 假如不能打开说明生效。
迄今为止,我们发明的恶意剧本文件有:
1:查抄有无/data/cache/t.php 、/data/cache/x.php和/plus/index.php 这些木马文件,有的话则当即删除
2:plus 目次木马
plus/90sec.php plus/ac.php plus/config_s.php plus/config_bak.php plus/diy.php (系统文件) plus/ii.php plus/lndex.php data/cache/t.php data/cache/x.php data/cache/mytag-*.htm data/config.php data/cache/config_user.php data/config_func.php include/taglib/shell.lib.php include/taglib/*.lib.php