Linux文件异常篡改排查

1. 开启防火墙，仅放开443和80端口

防火墙相关操作详见：https://www.sidoc.cn/doc/211.html

2. nginx服务以子账号的方式运行

nginx配置方式详见：https://www.sidoc.cn/article/522.html

3. 项目的所有文件设置细分的读写权限

在Linux中，每个文件都有自己的权限，只有具备权限的用户才能修改指定文件，但root用户可以修改系统中的任何文件；

如果一个文件不能被任何用户修改，则除root外的其它用户将无法修改，但root用户可通过 qw! 强行修改；

如果nginx服务的运行用户为siuser，通常会将除日志、缓存等目录的权限设置 siuser 可读写外，其它所有文件的权限全部设为只读和只执行；如下：

## 更新所有文件的权限全部为属主只读和执行
chmod 500 -R /home/test

## 更新日志目录的权限为属主 只写
chmod 600 -R /home/test

## 更新缓存目录的权限为属主 只写
chmod 600 -R /home/test

注意：一般来说，给日志和缓存目录“属主只写”权限即可允许其正常写入日志和缓存，但有些情况还要给这些目录可执行权限，否则程序无法在这些目录中新建目录；如下给日志和缓存目录“属主写和执行”权限：

## 更新日志目录的权限为属主 只写
chmod 700 -R /home/test

## 更新缓存目录的权限为属主 只写
chmod 700 -R /home/test

3.1 PHP直接打印当前代码的执行用户

echo get_current_user();

4. 升级Linux系统、nginx服务、php-fpm服务等，以修复已知漏洞

## 升级系统
yum update

## 升级nginx

## 升级php-fpm

5. 查看文件最近的修改者和修改时间

使用 stat filename 命令，如下图：

图中UID（User ID）是用户ID的缩写，GID（Group ID）是组ID的缩写

6. 查看指定用户运行的所有进程

## 可以查看该用户名的所有进程
top -u [用户名]