主页 > 编程资料 > PHP >
发布时间:2018-12-11 作者:apizl 阅读:183次

脚本文件异常情况

    1.可能伪造框架或cms系统相关的配置文件或类,一句话或上传脚本

    2.可能寄生在系统配置中的一句话木马

    3.文件上传目录存在php或其他脚本

    4.稀奇古怪的命名以及古怪的文件内容

    5.和已有文件一样命名的奇怪文件

和类相近名称

PHP网站被黑下马处理以及防黑大全解读

PHP网站被黑下马处理以及防黑大全解读

远程下载代码

PHP网站被黑下马处理以及防黑大全解读

一句话eval

PHP网站被黑下马处理以及防黑大全解读

免杀木马:

PHP网站被黑下马处理以及防黑大全解读

http://tool.apizl.com/dev/runCode/30340ea792a67c1d0e83e5db59e889fc.html

<?php

echo CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(100).CHR(105).CHR(97).CHR(111).CHR(115).CHR(105).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59);

PHP网站被黑下马处理以及防黑大全解读

PHP网站被黑下马处理以及防黑大全解读

PHP网站被黑下马处理以及防黑大全解读

被黑解决方式:

    1.检查日志请求

    优先筛选状态码200 POST请求,过滤后台请求。对非用户可能请求到的地址进行记录,进行代码排查。

    可能会存在eval函数或$_GET+CURL+file_put_contents等等这种远程创建脚本的方法。

    因为被黑后可能要保证马的存活,所以会定期监控。日志可以很好筛选出来。在解决挂马前一定要做好权限配置。

    当然不是所有的马会使用POST进行执行,也有利用远程下载进行执行不利于发现。

    2.全站代码文件查找

    查找eval、create_function、curl、file_put_contents、chown等等进行代码排查 【重点】

    3.目录权限配置

    除了框架或cms临时目录和上传目录可写以外,其他目录一律不可写。而且上传目录不能设置可执行权限。也可以使用open_basedir现在php操作,目录之外的东西。

    4.PHP环境配置

    php.ini禁用函数肯定是需要的

    disable_functions     phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

    有必要也可以对open_basedir进行设置


留下的马可能的规律:

大量CHR+eval 

以及ini_set进行设置操作

PHP网站被黑下马处理以及防黑大全解读

还有文件中file_put_contents要排查


文章由爱资料原创本文地址:https://www.apizl.com/archives/view-148757-1.html,转载请以链接形式标明本文地址!
关键字词:php  防黑  

必填

◎已有0人评论

加载更多