为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

浅谈web后门隐藏与检测思路

2013-9-16 11:07| 投稿: security

摘要: 来个例子先,例一:只因为在目录里多瞅了一眼,只一眼,就认出了你。为什么你是那么的出众?可疑点:文件名、时间、大小。(有点经验的人能很快发现这些上传的木马文件)1. 后门的选择安全可靠(无隐藏后门,功能...
来个例子先,例一:只因为在目录里多瞅了一眼,只一眼,就认出了你。为什么你是那么的出众?可疑点:文件名、时间、大小。(有点经验的人能很快发现这些上传的木马文件)1. 后门的选择安全可靠(无隐藏后门,功能稳定。可以从可信度高的地方获取可靠的木马)多兵种搭配(小马、大马、变态马)常规马链接: http://www.xxxxxx.org.hk/china60/axdx.php来个变态马的连接例子(这是一个可以用菜刀这样连接的小马,如果不填“?_=assert&__=eval($_POST['pass'])”则无法连接成功):http://www.xxxxxx.org.hk/china60/axdx.php?_=assert&__=eval($_POST['pass'])2. 后门的预处理(上传之前能做的工作尽量本地做好,少留痕迹)改默认密码改名—融入上传后所在的文件夹,让人很难直观地看出文件的异常文件大小的伪装处理(像正常脚本)来个不太好的文件大小伪装方式例子:为了使文件大小比较和谐,填充了很多无用字符。其实可以考虑复制所在文件夹其他正常脚本的内容。3. 后门的植入植入方式的选择(上传、新建、嵌入):上传是最直观的方式,有的站点禁止上传,可以通过新建一个文件,然后把马的内容复制进去保存。最隐蔽的是把木马嵌入网站本来就有的正常脚本中。修改文件时间狡兔三窟+深藏不漏:多藏几个后门,藏的路径深一点确定访问路径后不要访问,少留记录:知道访问路径后,就不要再访问测试了,防止在日志中留下痕迹。再来个例子:(猛一看,看不出来这是马吧)4. 清理工作清理碍眼的马(可能是别人上传的)清理日志—服务器日志+系统日志总结:口诀:挑、改、藏、隐(精挑细选、改头换面、狡兔三窟+深藏不漏、大隐隐于市)知道如何去隐藏后门,也就等于知道了如何去发现别人的后门,检测的话最好是写个自动化的脚本 。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部