Linux服务器php木马排查及加固

最近网站频繁被挂马，今天做了一些改进，基本上把这个问题解决了，因为discuz x2存在漏洞，被上传了websehll,每次被删除过段时间又出来了，最终查到所有的木马

从以下几个方面查找并加强

1.根据特征码查找：

php木马一般含有eval($_POST[cmd]);?>或者

find /wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /wwwroot/scan.txt 

结果就查出很多明显的webshell,并且发现都藏在attachment等目录下

2.利用网上的一个php代码，搜索最近被修改的文件

scandir.php

内容如下：

set_time_limit(0);//防止超时 
/** 
* 
* php目录扫描监控增强版 
* 
* @author lssbing (lssbing#gmail.com) 
* @date 2010-1-18 
* @license BSD 
* @version 1.0 
* 
下面几个变量使用前需要手动设置 
* 
**/ 
/*===================== 程序配置 =====================*/ 
$pass="12345";//设置密码 
$jkdir="."; //设置监控扫描的目录，当前目录为\'.\'，上一级目录为\'..\'，也可以设置绝对路径，后面不要加斜杠，默认为当前目录 
$logfilename="./m.log";//设置存储log的路径，可以放置在任意位置 
$exclude=array(\'data\',\'images\');//排除目录 
$danger=\'eval|cmd|passthru|gzuncompress\';//设置要查找的危险的函数 以确定是否木马文件 
$suffix=\'php|inc\';//设置要扫描文件的后缀 
/*===================== 配置结束 =====================*/ 
 
$filename=$_GET[\'filename\']; 
$check=$_GET[\'check\']; 
$jumpoff=false; 
$url = $_SERVER[\'PHP_SELF\']; 
$thisfile = end(explode(\'/\',$url)); 
$jump="{$thisfile}|".implode(\'|\',$exclude); 
$jkdir_num=$file_num=$danger_num=0; 
define(\'M_PATH\',$jkdir); 
define(\'M_LOG\',$logfilename); 
if ($check==\'check\') 
{ 
$safearr = explode("|",$jump); 
$start_time=microtime(true); 
safe_check($jkdir); 
$end_time=microtime(true); 
$total=$end_time-$start_time; 
$file_num=$file_num-$jkdir_num; 
$message= " 文件数:".$file_num; 
$message.= " 文件夹数：".$jkdir_num; 
$message.= " 可疑文件数：".$danger_num; 
$message.= " 执行时间：".$total; 
echo $message; 
}else{ 
if ($_GET[\'m\']=="del") Delete();//处理文件删除 
//读取文件内容 
if(isset($_GET[\'readfile\'])){ 
//输出查看密码，密码校验正确以后输出文件内容 
if(emptyempty($_POST[\'passchack\'])){ 
   echo"rm id="form1" name="form1" method="post">" 
    . " pass" 
    . " " 
    . " " 
    . " " 
    . "" 
   .""; 
   exit; 
}elseif(isset($_POST[\'passchack\'])&&$_POST[\'passchack\']==$pass){ 
   $code=file_get_contents($_GET[