热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全
站外
广告
域名申请虚拟主机 信息安全 域名注册 云主机 网络安全技术 企业网络安全 站外
广告
文字广告位招租 文字广告位招租 文字广告位招租 文字广告位招租 云安全

浅谈web后门隐藏与检测思路

发布时间:2013-08-20 10:27文章来源:freebuf文章作者:yexia 点击次数:
摘要:跟我一起念后门口诀: 挑、改、藏、隐 来个例子先,例一: 只因为在目录里多瞅了一眼,只一眼,就认出了你。为什么你是那么的出众? 可疑点:文件名、时间、大...

跟我一起念后门口诀:挑、改、藏、隐

来个例子先,例一:

 

浅谈web后门隐藏与检测思路

只因为在目录里多瞅了一眼,只一眼,就认出了你。为什么你是那么的出众?
可疑点:文件名、时间、大小。(有点经验的人能很快发现这些上传的木马文件)

1. 后门的选择
安全可靠(无隐藏后门,功能稳定。可以从可信度高的地方获取可靠的木马)
多兵种搭配(小马、大马、变态马)

常规马链接:

 

http://www.xxxxxx.org.hk/china60/axdx.php

来个变态马的连接例子(这是一个可以用菜刀这样连接的小马,如果不填“?_=assert&__=eval($_POST['pass'])”则无法连接成功):

http://www.xxxxxx.org.hk/china60/axdx.php?_=assert&__=eval($_POST['pass'])

 

2. 后门的预处理(上传之前能做的工作尽量本地做好,少留痕迹)
改默认密码
改名—融入上传后所在的文件夹,让人很难直观地看出文件的异常
文件大小的伪装处理(像正常脚本)

来个不太好的文件大小伪装方式例子:为了使文件大小比较和谐,填充了很多无用字符。其实可以考虑复制所在文件夹其他正常脚本的内容。

 

浅谈web后门隐藏与检测思路

3. 后门的植入

植入方式的选择(上传、新建、嵌入):上传是最直观的方式,有的站点禁止上传,可以通过新建一个文件,然后把马的内容复制进去保存。最隐蔽的是把木马嵌入网站本来就有的正常脚本中。

修改文件时间

狡兔三窟+深藏不漏:多藏几个后门,藏的路径深一点

确定访问路径后不要访问,少留记录:知道访问路径后,就不要再访问测试了,防止在日志中留下痕迹。

再来个例子:(猛一看,看不出来这是马吧)

 

浅谈web后门隐藏与检测思路

4. 清理工作

清理碍眼的马(可能是别人上传的)

清理日志—服务器日志+系统日志

总结:
口诀:挑、改、藏、隐
(精挑细选、改头换面、狡兔三窟+深藏不漏、大隐隐于市)

知道如何去隐藏后门,也就等于知道了如何去发现别人的后门,检测的话最好是写个自动化的脚本,这个就不多说了。CNT,求过,谢~

标签分类:

上一篇:安全狗绕过测试--注入篇
下一篇:ecshop后台通过模版拿weshell 又一则