V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
simonlu9
V2EX  ›  程序员

如果一个 PHP 文件已经删除所有写入权限,还有其他办法通过程序去修改吗

  •  
  •   simonlu9 · 259 天前 · 1074 次点击
    这是一个创建于 259 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如标题,但是昨天还是被写入了,目前只有想到两个可能,ssh 密码被泄露,程序有漏洞

    11 条回复    2024-03-25 19:05:28 +08:00
    iyiluo
        1
    iyiluo  
       259 天前
    只是权限标识,高权账号可以先改权限标识,弄完后再还原权限
    simonlu9
        2
    simonlu9  
    OP
       259 天前
    @iyiluo 这种可以用单纯 php 实现吗
    815979670
        3
    815979670  
       259 天前
    这个和 php 文件本身没关系,和运行 php 的容器权限有关系,比如 php 文件只有读取权限 但 php-fpm 是 root 运行的,那么 php 的执行权限就是 root
    simonlu9
        4
    simonlu9  
    OP
       259 天前
    @815979670 执行用户是 www,我确保这个用户没有修改权限
    changepll
        5
    changepll  
       259 天前
    这个你查一下文件修改日志. 看这个修改是哪个用户操作的, 你就知道是 root 还是 www 用户了. 如果是 www 用户, 那再查一下请求日志. 可以看是哪个请求修改的
    gamexg
        6
    gamexg  
       259 天前
    @simonlu9 #2 如果执行 php 的用户有权限,那么 php 可以
    MrUser
        7
    MrUser  
       258 天前   ❤️ 1
    答非所问:
    用 `chattr +i /path/file` 锁定后可以防止一些 webshell ,想取消了可以执行 `chattr -i /path/file`
    simonlu9
        8
    simonlu9  
    OP
       258 天前
    @MrUser 已改,试下这个方法,昨晚又被改了,我通过 ssh 登录日志,audit 审计日志,观察过,没有发现异常的,很好奇是怎么修改的,百思不得其解
    julyclyde
        9
    julyclyde  
       253 天前
    @simonlu9 audit 都开了还没看出来问题??
    simonlu9
        10
    simonlu9  
    OP
       252 天前
    @julyclyde 是的,很明显文件变化了,但 audit 日志根本没有
    julyclyde
        11
    julyclyde  
       252 天前
    @simonlu9 是不是连内核都脏了啊?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2893 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 00:29 · PVG 08:29 · LAX 16:29 · JFK 19:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.