【网站安全】网站被挂木马与777权限的奥妙

【网站安全】网站被挂木马与777权限的奥妙

有一天，VIP报告厅微信群聊的一个同学说网站被别人的图片劫持了。时间长了，也没什么原因。鳄龙SEO负责人刘明提问“linux系统软件中网站的关键文件目录是否已经在技术上设置为777文件权限”。学生查了一下，发现是这样的。那么，什么是777呢？水果机？爱偷懒的程应该知道如何微笑，方便的秘诀。这个简单的数据意味着文件权限 *** 作的一个突出概念。所以，请刘明快速叙述一篇文章，让我们随着刘明的叙述逐渐理解。

I.当客户浏览网页时

这时，你的web服务器内部发生了什么，请参考下图。任何一个阶段出现系统漏洞，都会出问题。注意，这张照片只是表示我知道，不是真正的步骤。

其次，文件的权限只有三种

查一下linux的标准文本文档就知道了。文件分为三种权限:读、写和执行。

r打开并加载内容。

w可以更改内容，改进内容，甚至删除内容。

XExecute可以作为可执行程序进程或shell脚本来执行。

注意，对于文件目录，X表示您可以访问其中的文件。

第三，文件权限是针对三类客户的。

所有者文件用户，即创建该文件的人。

文件所属的组。一个组可以包括许多所有者，但不一定包括当前文件的所有者。

其他人，也就是除了今天的主人和今天的小组以外的任何人。

四。具体是什么样子的。

linux中的所有文件都必须记录这三个权限和三个组。3x=9，加上一个标识表示“这是否是文件目录”，共10个标识。如下图所示，

这12行表示有12档，都是一个叫罪的人创建的，罪的顺序是杖。

【/s2/】五、详细解释。

我们去一个一个说吧。写字母(drwx)，表示你有这个权限。水平线(-)表示您没有此权限。

目录是

1:这是不是文件夹。d表示是。-没有，(如果写L，可以理解为是快捷图标。)

2:2:所有者是否可以加载该文件的内容。r表示是。-没有。

3.3:所有者是否可以更改此文档的内容。w表示是。-没有。

4:业主是否可以执行本文件。x表示是。，-不

5:5:组是否可以加载该文件的内容。r表示是。-没有。

6:小组是否可以更改此文档的内容。w表示是。-没有。

7:集团是否能执行本文件。x表示是。-没有。

8:other能够加载该文件的内容。r表示是。-没有。

9:是否9:其他可以改变本文件的内容。w表示是。-没有。

10:10:other是否可以执行该文件。x表示是。-没有。

六。如何方便地用数字表示文件权限？

既然10个部分的第一个不是权限，大家就只看后面的9个部分。

如何将这种权利转化为数据？

rwxrw-r-

所有者组其他

马克rwxrw-r-

二进制1111101000

总和764

111=2^22^12^0=7

110=2^22^1=6

100=2^2=4

因此，rwxrw-r-变成:764

七。公共权限数据

更改文件权限的常用指令，xxx表示文件名。

60只有所有者拥有读写权限。

644所有者有读写权限，而组只有读取权限。

00只有ower有读写和执行的权限。

66所有人、组和其他人都有读写权限。

77所有人、组和其他人都有读写和执行它们的权利。

八。最后，我们进入主题[/s2/]

说了这么多，你应该明白777的意思了，就是每个人都可以做任何事情。那等于没有许可！linux再安全，也无法阻止家人故意制造系统漏洞。这完全相当于把不锈钢烟屁股的原料换成了窗户纸。

Linux的安全标准是最低权限标准，可以的话不用给权限。和许多懒惰或初学者程通常申请更大的权力，更好的方便。

有人问，网站必须上传照片，一切必须正常。不然我把照片放哪？那我想问，家里的房子可以随便搬吗？冰箱能不能动，承重梁能不能动？必须要注意的是，大客厅、卧室、洗手间、餐厅厨房的室内房间空都是rw，但承重梁只有R，不能任意w。

同样，URL关键代码不能写，只能读。

学习权限的基础，如何应用？(只是说一下意义，实际如何部署，或者问问技术类专业的运维管理的同学。我已经很久没有接触网页了。)

假设我把关键代码放在/var/www/中，照片放在/var/pic/中。前一个文件目录rw包含所有文件R..后一种自我w，所有的文件r都在里面

web服务器只分析/var/www/中的文件，不能执行/var/pic/中的文件。那就不会让别人把恶意代码放到/var/pic/里执行。

因为每个网站使用的语言不一样，没办法统一说法，只能举若干例子。如果你的网站是php语言的，嵌入的木马病毒都是php语言写的指令。

可以分别试试这两个指令，因为php木马病毒经常用eval和create_function做错事(说/var/www/的同学不会有办法，想想十分钟)。

grep"eval("/var/www/*-r

grep"create_function("/var/www/*-r

必须注意的是，不使用777权限并不是万无一失的。web系统漏洞无处不在，防不胜防。本文内容只是自告奋勇。