`
cwqcwk1
  • 浏览: 87281 次
文章分类
社区版块
存档分类
最新评论

PHP网站被挂马防御战

 
阅读更多

最近把几个PHP网站的程序备份到本地,准备与本地的发布版的svn做内容整合。发现有一些non-versioned的程序文件,仔细查看,是一些木马程序。

我在本地测试了这些木马程序,可以读取所有硬盘的文件,可以随意修改文件,下载任意硬盘位置的文件,上传文件到主机任意硬盘位置,可以说接近在主机上管理文件了,更糟糕的是还可以执行本地程序或命令,管理mysql等等

它怎么隐藏和伪装的?

它一般藏的目录很深,喜欢藏到图片目录下面。由两部分构成,一个zip压缩包和一个解压程序,木马程序放到zip压缩包中。

我是如何清理的?

1、将所有的程序备份一份,用于之后的挂马分析

2、对比本地svn很快定位到所有的木马文件,将所有的木马文件一一清除。

分析挂马文件,主要发现以下几个问题:

1、使用了com组件(fso/shell)

2、使用了shell函数(system/passthru/shell_exec/exec)

3、程序遍历了所有硬盘

对比以上几点,通过修改php配置,做了以下相应的措施:

disable_classes= COM
//禁用com组件

disable_functions= exec,passthru,shell_exec,system,popen
//禁用shell函数

open_basedir= "D:/htdocs/;C:/windows/temp/"
//限制php的作用域 

然后重启apache,这样ok了吗?

答案是否定的。

前面提到该木马有执行本地程序或命令的功能,还可以随意上传其他木马程序。那么控制主机对它来说,已经是探囊取物那么简单了。

使用msconfig查看系统启动加载的服务,发现多了PsExec(远程控制工具)的启动项,看来主机确实被控制了。我禁用了该服务,找到程序删了。

启用“任务管理器”发现,仔细检查所有的进程和服务,发现还多了一个程序mimikatz(系统密码捕捉工具)。看来主机系统的密码也泄漏了。杀了程序,找到程序删了,也改了密码。

最后使用一些安全工具或命令检查一下系统关键路径,端口占用,网络连接情况等等,看看还有没有问题。

很遗憾,由于系统曾经清理过日志,我只能追踪到最开始出现的地方。至于它是如何入侵的,暂时也找不到确切答案。


分享到:
评论

相关推荐

    网站被挂马的解决办法

    ### 网站被挂马的解决办法:Mdcsoft-ips软件的应用及特性解析 在互联网时代,网站安全已成为不容忽视的重要议题。网站被挂马不仅会损害网站的正常运营,还会对用户的个人信息安全构成严重威胁。面对这类安全挑战,...

    asp网站挂马检测 检测网站是否被挂马

    asp网站挂马检测 检测网站是否被挂马 一个ASP写的程序

    php 网站挂马文件

    php 站的木马文件,有空可以研究下。还行

    ASP.Net网站数据库被挂马后手动清除一例

    当发现网站被挂马后,首要任务是立即断开网络连接,防止恶意脚本继续传播或窃取数据。然后,我们需要对网站进行全面的检查,包括以下几个步骤: 1. **检查源代码**:逐个查看ASPX、CS、JS等文件,查找并删除任何...

    网站挂马检测器

    大家是否在为网站有漏洞、网站被挂马而不知道所头疼?大家是否在为网站的安全、是否会被人入侵所担忧? MHTSoft推出了“门户通网站挂马检测器”,从此不再让您担忧!您只需轻按键盘、轻点鼠标,就可以实现对整个目录...

    网站漏洞与挂马检测

    网站漏洞与挂马检测

    php批量清马挂马工具

    php批量挂马,php扫马工具,php后门工具

    SEO及网站挂马

    SEO及网站挂马

    挂马网站分析追溯技术与实践

    这两个案例不仅展示了挂马网站的复杂性和危害性,也为后续的防御措施提供了重要参考。 ### 总结 《挂马网站分析追溯技术与实践》通过对挂马网站的历史背景、技术原理、监测方法以及实际案例的全面剖析,为读者提供...

    详解网站挂马方法

    详解网站挂马方法/教会你如何渗透网站挂马,抓肉鸡等

    WordPress网站被挂马 最可能的原因

    WordPress网站被挂马 最可能的原因

    如何进行网站挂马检测与清除

    用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码程序,进行盗号等危险超过。 检测挂马可以使用urlsnooper软件,该软件可以嗅探URL,检测网站中的恶意代码。首先需要安装url...

    网站挂马扫描工具

    一种很好的网站挂马查看工具,有助于你知道网站是否被入侵过

    网站挂马扫描器

    网站挂马扫描器

    网站挂马清除工具

    网站挂马清除工具 可以迅速的检查出网站的恶意代码。

    网站被挂马,批量清除木马工具.rar

    网站被挂马,批量清除木马工具 <div id="top"> 程序处理结果</div> <div id="top_b"> <div> 总文件:<span style="color:red" id="allfile"> 个 替换过文件:<span style="color:red" id="repfile"> 个 ...

    网站挂马扫描分析器MScaner v0.3

    网站挂马扫描分析器MScaner v0.3 仅供参考。

    网站挂马工具类

    文件操作,数据库操作,开进程执行 上传,转移位置,最后修改时间,执行程序,读写文件,SQL数据库操作 查看数据库结构 服务器上的操作基本都能实现

    sql server数据库中内容被挂马清除工具

    标题中的“sql server数据库中内容被挂马清除工具”指的是针对SQL Server数据库的恶意代码清除软件,这类软件设计用于检测并移除数据库中可能存在的木马、病毒或黑客植入的非法链接。在网络安全中,"挂马"是指黑客...

    网站挂马文本

    ### 知识点详解:网站挂马技术解析 #### 一、网站挂马概述 - **定义**:网站挂马是指攻击者通过在合法网站上植入恶意代码或脚本,当用户访问这些网站时,恶意...通过采取有效的预防措施,可以大大降低被挂马的风险。

Global site tag (gtag.js) - Google Analytics