php7 一句话木马,PHP一句话木马及查杀
常见的木马基本上有如下特征
1.接收外部变量
常见如:$_GET,$_POST
更加隐蔽的$_FILES,$_REQUEST…
2.执行函数
获取数据后还需执行它
常见如:eval,assert,preg_replace
隐藏变种:
include($_POST['a']);
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");
@preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');
使用urldecode,gzinflate,base64_decode等加密函数
3.写入文件
获取更多的权限
如:copy,file_get_contents,exec
一般的建议是打开safe_mode 或使用disable_functions 等来提升安全性;
可能有些程序无法正常运行,基本的安全设置
php.ini中
expose_php = OFF
register_globals = Off
display_errors = Off
cgi.fix_pathinfo=0
magic_quotes_gpc = On
allow_url_fopen = Off
allow_url_include = Off
配置open_basedir
查找木马脚本
查找隐藏特征码及入口可以找出大部分的木马.
#!/bin/bash
findpath=./
logfile=findtrojan.log
echo -e $(date +%Y-%m-%d_%H:%M:%S)" start\r" >>$logfile
echo -e '============changetime list==========\r\n' >> ${logfile}
find ${findpath} -name "*.php" -ctime -3 -type f -exec ls -l {} \; >> ${logfile}
echo -e '============nouser file list==========\r\n' >> ${logfile}
find ${findpath} -nouser -nogroup -type f -exec ls -l {} \; >> ${logfile}
echo -e '============php one word trojan ==========\r\n' >> ${logfile}
find ${findpath} -name "*.php" -exec egrep -I -i -C1 -H 'exec\(|eval\(|assert\(|system\(|passthru\(|shell_exec\(|escapeshellcmd\(|pcntl_exec\(|gzuncompress\(|gzinflate\(|unserialize\(|base64_decode\(|file_get_contents\(|urldecode\(|str_rot13\(|\$_GET|\$_POST|\$_REQUEST|\$_FILES|\$GLOBALS' {} \; >> ${logfile}
#使用使用-l 代替-C1 -H 可以只打印文件名
echo -e $(date +%Y-%m-%d_%H:%M:%S)" end\r" >>$logfile
more $logfile
/bin/bash^M: bad interpreter: 没有那个文件或目录
运行脚本时出现了这样一个错误,打开之后并没有找到所谓的^M,查了之后才知道原来是文件格式的问题,也就是linux和windows之间的不完全兼容。。。
具体细节不管,如果验证:
vim test.sh
:set ff?
如果出现fileforma=dos那么就基本可以确定是这个问题了。
:set fileformat=unix
:wq
OK了。。。。。。。
/bin/bash^M: bad interpreter: 没有那个文件或目录
错误分析:
因为操作系统是windows,我在windows下编辑的脚本,所以有可能有不可见字符。
脚本文件是DOS格式的, 即每一行的行尾以 来标识, 其ASCII码分别是0x0D, 0x0A.
可以有很多种办法看这个文件是DOS格式的还是UNIX格式的, 还是MAC格式的
解决方法:
vim filename
然后用命令
:set ff? #可以看到dos或unix的字样. 如果的确是dos格式的。
然后用
:set ff=unix #把它强制为unix格式的, 然后存盘退出。
再次运行脚本。
php7 一句话木马,PHP一句话木马及查杀相关推荐
- 超级BT木马的分析报告与查杀.
昨天载了一个代理猎手,然后中招了.按照以往的方法,结束进程,清注册表,折腾了一个晚上,实在痛苦.今儿早上,又折腾,7点到现在12点,终于把所有它加载与修改的程序和键值都找了出来.实在是BT啊,以下是我 ...
- 木马病毒的万能查杀方法
"木马"程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的办法.只要把Form的Visible属性设为False,ShowInTaskBar设为False,程 ...
- 计算机病毒与木马知识doc,木马和计算机病毒的特点
木马和计算机病毒有什么相同点呢,下面是小编为你整理了相关内容,希望对你有帮助. 木马和病毒的相似点 木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的 ...
- 360安全卫士的云查杀原理介绍[转]
我有两个感觉:第一个是关于杀毒软件,一个已经做20年的行业,它的核心技术可以说是一直基于收集病毒样本,采集病毒特征,组成病毒库,在每个用户的机器上按图索骥,像通缉令查坏人一样去查杀病毒.现在木马起来之 ...
- php7 一句话木马,PHP一句话木马后门
在我们进行渗透测试的最后阶段,入侵到内网里,无论是想要浏览网站结构,还是抓取数据库,或者是挂个木马等等,到最后最常用的就是执行一句话木马,从客户端轻松连接服务器. 一句话木马的原理很简单,造型也很简单 ...
- php7 一句话木马,PHP一句话木马研究
*本文原创作者:Gxian,本文属于FreeBuf原创奖励计划,未经许可禁止转载 最近在研究PHP一句话后门,查阅了很多大佬的博客,并从中衍生出了一些可用的方法. 现总结如下: 方案一:回调函数回调函 ...
- 一句话木马:初识木马练习
一句话木马: 不是mua,木马是根据撰写了恶意代码的文件,以实现恶意攻击的目的. 一句话木马就一句话,配合中国菜刀等工具可以实现数据的摄取. php木马: <?php @eval($_POST[ ...
- php一句话工作原理,一句话木马的工作原理
一句话木马的工作原理:一句话木马分析服务端与客户端. '一句话木马'服务端(是用于本地的html提交脚本木马文件) 就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件) ...
- php一句话大全,[各种一句话木马大全]各种一句话
PHP一句话: 1.普通一句话 2.防爆破一句话 <?php substr(md5($_REQUEST['x']),28)=='ac3a'&&eval($_REQUEST['pa ...
- silic group第五版php木马,php一句话后门特征码与免杀-zz
作者:YoCo Smart 来自:Silic Group Hacker Army [BlackBap.Org] 首先我们要明白什么是一句话木马. "一句话"是一种特征性很强的脚本后 ...
最新文章
- c++派生类和基类的构造函数和析构函数
- JavaWeb学习总结(四十九)——简单模拟Sping MVC
- atoi和itoa函数实现
- GitHub CEO 回应源代码泄露:没有黑客!没有被入侵!
- 机器视觉基本设计因素有哪几点?
- 图像滤镜艺术---(Instagram)1977滤镜
- unity每次运行总是game窗口最大化怎么解决?
- cnn初学者—从这入门_使用Tensorflow为初学者使用CNN进行简单图像分类
- UIApplication
- 基于javaweb的订餐管理系统的设计与实现 毕业设计毕设参考
- 生物医学信号处理之数字信号处理基础
- 逛Github网站显示中文教程
- linux foxit,Foxit PDF SDK
- 数据的力量 |《2021—2022中国大数据行业发展报告》发布
- linux 压缩 解压缩命令详解
- 微信公众平台小程序开发教程
- 抖音挑战微信能赢么?
- iOS 极光推送没有声音怎么办?
- 2020-05-21
- win10 怎么由豆沙绿恢复为默认的颜色
热门文章
- Python for Android最简单详细的,最手把手的教程 之第一节安装
- Java流——字节流
- centos系统大量time wait占用的解决
- Visual Studio 调试 .net mvc 项目 Console.WriteLine 无法输出到控制台 解决方案
- PTA C语言找不同
- BAT批处理文件 for命令详解
- Opera GX for Mac(Opera游戏浏览器)
- 在Hibernate中Transformers的所有转换都是需要实现ResultTransformer接口。
- 微信小程序网悦新闻开发--首页模块开发(三)
- C# winform之属性 bindingNavigator