【滲透】淺談webshell隱藏

跟我一塊兒念後門口訣：

挑、改、藏、隱 來個例子先，例一：

只由於在目錄裏多瞅了一眼，只一眼，就認出了你。爲何你是那麼的出衆？

可疑點：文件名、時間、大小。（有點經驗的人能很快發現這些上傳的木馬文件）

 1. 後門的選擇

安全可靠（無隱藏後門，功能穩定。能夠從可信度高的地方獲取可靠的木馬）

多兵種搭配（小馬、大馬、變態馬） 常規馬連接：

http://www.xxxxxx.org.hk/china60/axdx.php來個變態馬的鏈接例子（這是一個能夠用菜刀這樣鏈接的小馬，若是不填「?_=assert&__=eval($_POST['pass'])」則沒法鏈接成功）：

http://www.xxxxxx.org.hk/china60/axdx.php?_=assert&__=eval($_POST['pass'])

2. 後門的預處理（上傳以前能作的工做盡可能本地作好，少留痕跡）

改默認密碼

更名—融入上傳後所在的文件夾，讓人很難直觀地看出文件的異常

文件大小的假裝處理（像正常腳本） 來個不太好的文件大小假裝方式例子：爲了使文件大小比較和諧，填充了不少無用字符。其實能夠考慮複製所在文件夾其餘正常腳本的內容。

 

3. 後門的植入 

植入方式的選擇（上傳、新建、嵌入）：上傳是最直觀的方式，有的站點禁止上傳，能夠經過新建一個文件，而後把馬的內容複製進去保存。最隱蔽的是把木馬嵌入網站原本就有的正常腳本中。 

修改文件時間 

狡兔三窟+深藏不漏：多藏幾個後門，藏的路徑深一點 

肯定訪問路徑後不要訪問，少留記錄：知道訪問路徑後，就不要再訪問測試了，防止在日誌中留下痕跡。

 再來個例子：（猛一看，看不出來這是馬吧）

4. 清理工做 

清理礙眼的馬（多是別人上傳的）

 清理日誌—服務器日誌+系統日誌 

總結：

口訣：挑、改、藏、隱

（精挑細選、改頭換面、狡兔三窟+深藏不漏、大隱隱於市）