暗战亮剑 应对php注入攻击实录

     前几天，我们又收到了阿里告警说我们附件区有webshell木马文件，似乎又一场黑客灾难来临。最初查询了nginx访问记录和php访问记录，只有php记录莫名奇妙消失了，3月8号重启php后正常，云斯怀疑后台登录证书文件泄漏，检查了后台登录记录，是正常的，由于连续几天 不断的传入木马，看起来很棘手。也许是上天的眷顾，昨天无意中在搜索亮剑这个电视剧，里面夹带了一本书 暗战亮剑--黑客攻防入门与进阶实录 pdf 。大概扫描了一下目录，里面有专门介绍dz攻击的例子，翻到例子中看到了整个攻击过程。这个攻击漏洞是针对php的，叫php注入攻击，只要php文件中含有 if include php文件这个语句，就不能避免攻击，通过攻击后获取root权限传入木马文件。于是我想，root是有权利执行命令的用户，如果我把文件用户权限变更为不能执行命令的用户不就可以避免文件传入了么？ 于是 变更附件区文件权限，到目前为止再也没有收到木马文件传入告警。对于dz的php注入是无法避免的，因为它大部分文件都有if  include这个语句，看起来放弃dz已经成为我们要考虑的另外一个选项，这很艰难！