本文目錄一覽:
php怎麼留後門
所謂後門,就是一段代碼。但是要被觸發,比如,當你把文件上傳到服務器上以後,打開這個頁面,就會直接讀取數據庫,比如某些博客程序,別人給你的,他直接多放了一個文件,裏面有獲取config.php的,然後直接顯示這個文件的密碼配置,這個就是後門。
如何找到PHP後門隱藏技巧
可以通過一些關鍵字或者正則來進行匹配
(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))’,
‘(base64_decode\([\'”][\w\+/=]{200,}[\'”]\))’,
‘eval\(base64_decode\(‘,
‘(eval\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))’,
‘(assert\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))’,
‘(\$[\w_]{0,15}\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))’,
‘(wscript\.shell)’,
‘(gethostbyname\()’,
‘(cmd\.exe)’,
‘(shell\.application)’,
‘(documents\s+and\s+settings)’,
‘(system32)’,
‘(serv-u)’,
‘(提權)’,
‘(phpspy)’,
‘(後門)’,
‘(webshell)’,
‘(Program\s+Files)’
PHP加密後門特徵,如何找出後門?
這個特徵是你的掃描器自定的,你可以看到後面還有一列特徵
裏面的字符串就是掃描器,掃讀源碼發現該文件內有該字符串,才會列出的
其實這種類型的判斷並不準確,但可以大致鎖定範圍
PHP中eval函數的確是PHP後門中常用的招數
PHP的93個WordPress插件有後門
因為93 個 WordPress 主題和插件包含後門,從而使得攻擊者可以完全控制網站。攻擊者總共入侵了 AccessPress 的 40 個主題和 53 個插件,AccessPress 是 WordPress 插件的開發者,用於超過 360,000 個活動網站。
該攻擊是由 Jetpack 的研究人員發現的,Jetpack 是 WordPress 網站安全和優化工具的創建者,他們發現 PHP 後門已被添加到主題和插件中。
Jetpack 認為外部威脅攻擊者入侵了 AccessPress 網站以破壞軟件並感染更多的 WordPress 網站。
一旦管理員在他們的網站上安裝了一個受感染的 AccessPress 產品,就會在主主題目錄中添加一個新的「initial.php」文件,並將其包含在主「functions.php」文件中。該文件包含一個 base64 編碼的有效負載,它將 webshel l 寫入「./wp-includes/vars.php」文件。惡意代碼通過解碼並將其注入「vars.php」文件來完成後門安裝,實質上是讓攻擊者遠程控制受感染的站點。
檢測這種威脅的唯一方法是使用核心文件完整性監控解決方案,因為惡意軟件會刪除「initial.php」文件釋放器以掩蓋其蹤跡。
我受到影響嗎?
如果您在您的網站上安裝了其中一個受感染的插件或主題,則刪除/替換/更新它們不會根除任何可能通過它植入的 webshel l。
因此,建議網站管理員通過執行以下操作來掃描他們的網站是否存在入侵跡象:
Jetpack 提供了以下 YARA 規則,可用於檢查站點是否已被感染並檢測 dropper 和已安裝的 webshel l:
原文鏈接:PHP的93個WordPress插件有後門
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hk/n/257307.html
微信掃一掃 
支付寶掃一掃 