某日,上个东家找上门来,称最近站群中首页总是被木马篡改首页,木马删了过后又自动生成(普通的木马扫描器无法检测关键字),被搞的心力憔悴,发了个红包让我帮忙看看。解决下问题。
进入正题,拿到文件后...........瞬间懵逼~
加密之前的文件
所幸在最下面找到了一堆的东西
加密之前的文件
打印得到加密加密,创建函数
加密方式与创建函数得到后,就有头绪了。
邪恶万能的eval,也难怪扫描器扫描不出来,base64加密这么多层,的确是扫不出来。但是程序实际上还是在内存中,我取不出来,只能构造一下了。
把内存中的程序写到文件中 加密后为 :JGJmX3N0cj1iYXNlNjRfZGVjb2RlKCRiZl9zdHIpO2ZpbGVfcHV0X2NvbnRlbnRzKCd3cml0ZW11bWEucGhwJywkYmZfc3RyKTs=
执行后得到文件
基本的木马文件
东西很多,没精力一个个的去查看了,感叹是哪位冰壶浪子搞出这个东西~大致的东西基本上都是System探测,语言探测,命令试执行,数据库,FTP探测,一个齐全的东西用来挂一个企业站的黑页,是不是有点而大材小用了~
探测
主要保护对象
懒得看了,直接把 create_function,eval,base64_decode,fsockopen这几个函数在php.ini中全部禁止。以后就算有木马进来,跑不起来,门打不开也是一回事~
基本的把3389等远程默认端口给换掉,然后剩余的交给安全狗就洗洗睡了,第二天起床,果然扫到一些恶意脚本,删除。完事儿。
网友评论