Nginx虚拟主机防Webshell安全检测程序

我们先来看下nginx.conf51Testing软件测试网qJWp@5@"w

  server
R$oP$Adu"O(_0  {51Testing软件测试网L"Q/p+U!}9tK7@8O
    listen       80;51Testing软件测试网V-{2|}(l'en
    server_name  www.a.com;
#e%J2Dtp%@X0    index index.html index.htm index.php;
5~[2n _!|k4b#j0    root  /data/htdocs/www.a.com/;51Testing软件测试网 jgF_-q+ma#d9n

    #limit_conn   crawler  20;    
$L`h Oo9g"L0                             51Testing软件测试网\%\,ID L2ia
y}.|
    location ~ .*\.(php|php5)?51Testing软件测试网9X;mz+k.P5KOC a
    {      51Testing软件测试网 d6l e` PqVJtW
      #fastcgi_pass  unix:/tmp/php-cgi.sock;
%_U8hDj_ _zz(A0      fastcgi_pass  127.0.0.1:9000; 
sPd#{/v&zHMY0      fastcgi_index index.php;51Testing软件测试网M.aF dUO3E)l:_~x
      include fcgi.conf;
'u0V)n!dq{0    }51Testing软件测试网8H} Ek&J
w6t7e3lFTC

}51Testing软件测试网1pk iha#f_E)u

  server51Testing软件测试网&e8[u+qw
  {
1weZ4`t!])ld0    listen       80;
(O%f~*q/|gK {T1{'_4E|0    server_name  www.b.com;
|n,bk!xw%I0    index index.html index.htm index.php;
to;JB-S@0    root  /data/htdocs/www.b.com/;51Testing软件测试网+h(D%t(w\1FB/] ^&lO6|

    #limit_conn   crawler  20;    51Testing软件测试网c2I0f z`-c
                             51Testing软件测试网t0q,`:]j?pL
    location ~ .*\.(php|php5)?
c"_ rC W9vB@%\V0    {      
D*i:yD QA0      #fastcgi_pass  unix:/tmp/php-cgi.sock;
oA ~x$sr3x0      fastcgi_pass  127.0.0.1:9000; 51Testing软件测试网bnn9uB8i``)u
      fastcgi_index index.php;51Testing软件测试网.H9J+o
n[ E*j'U%l
T
      include fcgi.conf;
6}7H~.Z\]\4j+c0    }

}51Testing软件测试网7\L^LHM,a\

nginx在80端口接受到访问请求后，会把请求转发给9000端口的php-cgi进行处理

而如果修改php.ini中open_basedir= ../../../../../ ，针对两个不同的网站，www.a.com , www.b.com都会把请求发送给9000处理，而如果先访问www.a.com那么../../../../../就会变成A网站的根目录地址，然后 这时候如果你访问www.b.com，那么open_basedir仍然是A网站的根目录，但是对于B来说，又是不允许访问的，所以就造成了，第二个站点 打开以后会出现no input files，那么有什么解决办法呢？51Testing软件测试网
XZm k&t!C#s}/s
T

我们可以把不同的虚拟主机发送到不同的php-cgi端口进行处理，当然响应的php-fpm配置文件中的open_basedir也不同。。我们来看看怎么配置。。51Testing软件测试网 v,n0k Q:q:^

首先,nginx.conf配置如下51Testing软件测试网6M\n^(dA0^*t:|

 server51Testing软件测试网5YKq
zA8uLa#P
  {
^"j0[/Y5t4hGE0    listen       80;
K%z6B_)[)n:L(L sl0    server_name  www.a.com;51Testing软件测试网v!oC{ z7|W|.?(U
    index index.html index.htm index.php;
7ZMk${/Ac0    root  /data/htdocs/www.a.com/;

    #limit_conn   crawler  20;    51Testing软件测试网e)jTd8P.ef7_
                             
5hneb3ZB*ReFi0    location ~ .*\.(php|php5)?51Testing软件测试网 Z1b0RV
P rDBim8l
    {      
Ni$]} Kx#Q
xz,y} m0      #fastcgi_pass  unix:/tmp/php-cgi.sock;51Testing软件测试网b~2cb)}mP
      fastcgi_pass  127.0.0.1:9000; 51Testing软件测试网!y!or'w)@i y
      fastcgi_index index.php;
j-q%f8zR"]6ER-u0      include fcgi.conf;
Lpma7\PLj0    }

}51Testing软件测试网D7x$q&v9t!r

  server
0i~7@-LfAZl0  {
{1`M%@jp/g;k$Ls0    listen       80;51Testing软件测试网/S+K6j
p&_7H&O` `
    server_name  www.b.com;
:m7_[`,k3y0    index index.html index.htm index.php;51Testing软件测试网"bK`'i&U'lu
    root  /data/htdocs/www.b.com/;

    #limit_conn   crawler  20;    51Testing软件测试网P:qd`D(J4_ d9Z
E{"t
                             
+Ip(H3] cT
t6Z)u0    location ~ .*\.(php|php5)?51Testing软件测试网l'pGhc
    {      
-]3x4}!hrF;k,[)p:H0      #fastcgi_pass  unix:/tmp/php-cgi.sock;
l'Z}I!Fy9Y0      fastcgi_pass  127.0.0.1:9001; 
3l4d.B o$QuI'z0      fastcgi_index index.php;51Testing软件测试网g\6k3eCc7xd
      include fcgi.conf;
u#\a
E4z0    }

}51Testing软件测试网&{3Liky7u)J

注意:www.a.com 的请求发送到9000端口 ， www.b.com 的请求发送到9001端口，依次类推

nginx配置修改了，相对的,php-fpm.conf也要修改51Testing软件测试网.n;l n4O}.Qa

每个站点建一个conf51Testing软件测试网9A {aGFU(L![

A站点51Testing软件测试网/M"`6SG9A3SA}z

#cp /usr/local/webserver/php/etc/php-fpm.conf /usr/local/webserver/php/etc/www.a.com.conf51Testing软件测试网 l2_;[8C,@iP.`

#vi /usr/local/webserver/php/etc/www.a.com.conf51Testing软件测试网r^4u2D~
r

找到php_defines，添加51Testing软件测试网N%IY Z i0[({9G

<value name="open_basedir">/data/htdocs/www.a.com:/tmp:/var/tmp</value>51Testing软件测试网B1in8n2O
]_

 51Testing软件测试网^6^hy5PQn7o

B站点51Testing软件测试网k r5RXk9|5Enb:Wx

#cp /usr/local/webserver/php/etc/php-fpm.conf /usr/local/webserver/php/etc/www.b.com.conf51Testing软件测试网#q3b\
r l8Jn&N

#vi /usr/local/webserver/php/etc/www.b.com.conf51Testing软件测试网^l eq!n Y

找到php_defines，添加

<value name="open_basedir">/data/htdocs/www.b.com:/tmp:/var/tmp</value>51Testing软件测试网:D c _Eh?

 51Testing软件测试网a ?!q%@x2} i,ms

找到listen_address,修改为51Testing软件测试网1^E?Jj.[+fN`

<value name="listen_address">127.0.0.1:9001 </value>   注意这里的端口号51Testing软件测试网%qs RgiTi`2[,n

 51Testing软件测试网3Ws~(x[ nn{;W

最后要修改php-fpm启动脚本51Testing软件测试网%Ew9{u!R k

#vi /usr/local/webserver/php/sbin/php-fpm

 51Testing软件测试网~jS)w!\D}2Di

注释掉原来的 #php_fpm_BIN --fpm php_opts，田间

php_fpm_BIN --fpm --fpm-config /usr/local/webserver/php/etc/www.a .com.conf51Testing软件测试网UBlt&H#D

php_fpm_BIN --fpm --fpm-config /usr/local/webserver/php/etc/www.b .com.conf51Testing软件测试网 X&@_;N"R/D({1j#Im

启动服务51Testing软件测试网!tb-J)BB*L;?r

#/usr/local/webserver/php/sbin/php-fpm restart51Testing软件测试网5\ {r O:zp/e6TtQQ@

查看端口

#netstat -tln

 51Testing软件测试网'aTG(`Ds]

开了9000 9001分别处理两个站点请求51Testing软件测试网k:f,| Rd.kP

两个php-cgi主进程加载不同的conf文件，这样就完美解决了虚拟主机webshell能跨目录的问题51Testing软件测试网OapeD)V%A'j6}D

当然，启动之前记得conf里面的max_children，开启php-cgi子进程数，相应要减少一些，以免造成内存不足51Testing软件测试网 I5L%]X
l,PY'rZ