寫一個自定義的modsec規則來拒絕在php腳本中上傳/執行特定代碼

Question

在modsecurity中是否有任何可用的選項來編寫自定義規則來阻止包含具有共同模式的hack腳本的php腳本。

我面臨的一個問題，在我的服務器中受損的cms軟件經常上傳php腳本，其中包含相同的黑客代碼。所有的代碼都包含如下的通用模式。

$z26="jmiO@sxhFnD>J\r/u+RcHz3}g\nd{^8 ?eVwl_T\\\t|N5q)LobU]40!p%,rC-97k<'y=W:P\$1BI&S6\"E(K`Y~.Q;f[v2a#X*ZAGtM"; 

是否有任何方式在modsec指定它，並指示它阻止任何PHP腳本上傳或執行在服務器包含上述圖案的上面的圖案或部分？

Answer 1

您是否想過如何將此腳本寫入您的文件？我有一個類似的問題，因爲使用FTP，因爲我在Windows Commander中保存密碼。我不得不清除很多文件，這是一個類似於你的腳本。

我不知道這是否真的能夠完成這項工作，但它至少可以讓你更安全一些，所以看看php-firewall。