【滲透】淺談webshell隱藏

跟我一塊兒念後門口訣: php

挑、改、藏、隱 來個例子先,例一: 安全

只由於在目錄裏多瞅了一眼,只一眼,就認出了你。爲何你是那麼的出衆? 服務器

可疑點:文件名、時間、大小。(有點經驗的人能很快發現這些上傳的木馬文件) 測試

 1. 後門的選擇 網站

安全可靠(無隱藏後門,功能穩定。能夠從可信度高的地方獲取可靠的木馬) spa

多兵種搭配(小馬、大馬、變態馬) 常規馬連接: 日誌

http://www.xxxxxx.org.hk/china60/axdx.php來個變態馬的鏈接例子(這是一個能夠用菜刀這樣鏈接的小馬,若是不填「?_=assert&__=eval($_POST['pass'])」則沒法鏈接成功): 密碼

http://www.xxxxxx.org.hk/china60/axdx.php?_=assert&__=eval($_POST['pass']) im

2. 後門的預處理(上傳以前能作的工做盡可能本地作好,少留痕跡) 經驗

改默認密碼

更名—融入上傳後所在的文件夾,讓人很難直觀地看出文件的異常

文件大小的假裝處理(像正常腳本) 來個不太好的文件大小假裝方式例子:爲了使文件大小比較和諧,填充了不少無用字符。其實能夠考慮複製所在文件夾其餘正常腳本的內容。


 

3. 後門的植入 

植入方式的選擇(上傳、新建、嵌入):上傳是最直觀的方式,有的站點禁止上傳,能夠經過新建一個文件,而後把馬的內容複製進去保存。最隱蔽的是把木馬嵌入網站原本就有的正常腳本中。 

修改文件時間 

狡兔三窟+深藏不漏:多藏幾個後門,藏的路徑深一點 

肯定訪問路徑後不要訪問,少留記錄:知道訪問路徑後,就不要再訪問測試了,防止在日誌中留下痕跡。

 再來個例子:(猛一看,看不出來這是馬吧)

4. 清理工做 

清理礙眼的馬(多是別人上傳的)

 清理日誌—服務器日誌+系統日誌 

總結:

口訣:挑、改、藏、隱

(精挑細選、改頭換面、狡兔三窟+深藏不漏、大隱隱於市)

相關文章
相關標籤/搜索