秋无痕淘宝天猫优惠券网 秋无痕常用软件全功能装机光盘 2023年金秋版 秋无痕一键优化Windows 10专版 秋无痕一键优化Windows 11专版
秋无痕论坛官方QQ群 获取无痕币和提高等级

上一主题下一主题
主题 : 浅谈web后门隐藏与检测思路
使用道具 | 复制链接 | 浏览器收藏 | 打印
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

作者资料 发送短消息
UID: 998
精华: 0
发帖: 605043
威望: 529545 点
无痕币: 6 WHB
贡献值: 0 点
在线时间: 62438(时)
注册时间: 2008-12-25
最后登录: 2024-05-10
0  发表于: 2013-12-27 10:19|请将IE368导航设置为首页,支持论坛
只看楼主 |

0 浅谈web后门隐藏与检测思路

跟我一起念后门口诀:挑、改、藏、隐来个例子先,例一:只因为在目录里多瞅了一眼,只一眼,就认出了你。为什么你是那么的出众?
 跟我一起念后门口诀:挑、改、藏、隐来个例子先,例一:
只因为在目录里多瞅了一眼,只一眼,就认出了你。为什么你是那么的出众?
可疑点:文件名、时间、大小。(有点经验的人能很快发现这些上传的木马文件)
1. 后门的选择
安全可靠(无隐藏后门,功能稳定。可以从可信度高的地方获取可靠的木马)
多兵种搭配(小马、大马、变态马)常规马链接:
http://www.xxxxxx.org.hk/china60/axdx.php
来个变态马的连接例子(这是一个可以用菜刀这样连接的小马,如果不填“?_=assert&__=eval($_POST['pass'])”则无法连接成功):
http://www.xxxxxx.org.hk/china60/axdx.php?_=assert&__=eval($_POST['pass'])
2. 后门的预处理(上传之前能做的工作尽量本地做好,少留痕迹)
改默认密码
改名—融入上传后所在的文件夹,让人很难直观地看出文件的异常
文件大小的伪装处理(像正常脚本)来个不太好的文件大小伪装方式例子:为了使文件大小比较和谐,填充了很多无用字符。其实可以考虑复制所在文件夹其他正常脚本的内容。
3. 后门的植入植入方式的选择(上传、新建、嵌入):上传是最直观的方式,有的站点禁止上传,可以通过新建一个文件,然后把马的内容复制进去保存。最隐蔽的是把木马嵌入网站本来就有的正常脚本中。修改文件时间狡兔三窟+深藏不漏:多藏几个后门,藏的路径深一点确定访问路径后不要访问,少留记录:知道访问路径后,就不要再访问测试了,防止在日志中留下痕迹。再来个例子:(猛一看,看不出来这是马吧)
4. 清理工作清理碍眼的马(可能是别人上传的)清理日志—服务器日志+系统日志总结:
口诀:挑、改、藏、隐
(精挑细选、改头换面、狡兔三窟+深藏不漏、大隐隐于市)知道如何去隐藏后门,也就等于知道了如何去发现别人的后门,检测的话最好是写个自动化的脚本,这个就不多说了。
来自: 评分选定 顶端
回复 引用 评分 分享
级别: 九滴秋露

作者资料 发送短消息
UID: 55460
精华: 0
发帖: 70952
威望: 51692 点
无痕币: 18932 WHB
贡献值: 666 点
在线时间: 26280(时)
注册时间: 2008-10-01
最后登录: 2019-05-12
1  发表于: 2013-12-27 10:28|请将IE368导航设置为首页,支持论坛
只看该作者 |

了解,呵呵。
来自: 评分选定 顶端
回复 引用 评分 分享
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

作者资料 发送短消息
UID: 998
精华: 0
发帖: 605043
威望: 529545 点
无痕币: 6 WHB
贡献值: 0 点
在线时间: 62438(时)
注册时间: 2008-12-25
最后登录: 2024-05-10
2  发表于: 2014-08-26 09:07|请将IE368导航设置为首页,支持论坛
只看该作者 |

这个就要看看了哦。
来自: 评分选定 顶端
回复 引用 评分 分享
上一主题下一主题
 秋无痕论坛 » 『系统安全综合区』
Total 0.046066(s) query 4, Time now is:05-10 19:46, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛