本文目录一览:
PHP的93个WordPress插件有后门
因为93 个 WordPress 主题和插件包含后门,从而使得攻击者可以完全控制网站。攻击者总共入侵了 AccessPress 的 40 个主题和 53 个插件,AccessPress 是 WordPress 插件的开发者,用于超过 360,000 个活动网站。
该攻击是由 Jetpack 的研究人员发现的,Jetpack 是 WordPress 网站安全和优化工具的创建者,他们发现 PHP 后门已被添加到主题和插件中。
Jetpack 认为外部威胁攻击者入侵了 AccessPress 网站以破坏软件并感染更多的 WordPress 网站。
一旦管理员在他们的网站上安装了一个受感染的 AccessPress 产品,就会在主主题目录中添加一个新的“initial.php”文件,并将其包含在主“functions.php”文件中。该文件包含一个 base64 编码的有效负载,它将 webshel l 写入“./wp-includes/vars.php”文件。恶意代码通过解码并将其注入“vars.php”文件来完成后门安装,实质上是让攻击者远程控制受感染的站点。-phpdll后门
检测这种威胁的唯一方法是使用核心文件完整性监控解决方案,因为恶意软件会删除“initial.php”文件释放器以掩盖其踪迹。
我受到影响吗?
如果您在您的网站上安装了其中一个受感染的插件或主题,则删除/替换/更新它们不会根除任何可能通过它植入的 webshel l。
因此,建议网站管理员通过执行以下操作来扫描他们的网站是否存在入侵迹象:
Jetpack 提供了以下 YARA 规则,可用于检查站点是否已被感染并检测 dropper 和已安装的 webshel l:
原文链接:PHP的93个WordPress插件有后门
手无寸铁轻易清除“dll后门木马”
一直以来,我们都认为木马是以exe结尾的可执行文件,只要不运行exe为后缀的文件就可以了。但如果木马都这么容易辨别,那就不能称为木马了。事实上有很多木马都不是以exe为后缀的,例如著名的后门木马工具bits,就是一款dll后门,整个后门程序只有一个dll文件,但却可以实现非常恐怖的效果。那么dll后门木马是如何运作的?我们又该如何清除dll后门木马呢?请看本文。-phpdll后门
★编辑提示:dll后门木马的来历
dll(Dynamic
Link
Library)即系统的动态链接库文件。dll文件本身并不可以运行,需要应用程序调用。当程序运行时,Windows将dll文件装入内存中,并寻找文件中出现的动态链接库文件。dll后门木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成dll文件。我们都知道正在运行的程序是不能关闭的,而dll后门木马会插入到这个应用程序的内存模块中,因此同样同样无法删除,这就是dll后门木马的高明之处。-phpdll后门
dll后门木马通常只有一个文件,依靠动态链接程序库,由某一个EXE作为载体,或者使用Rundll32.exe来启动,插入到系统进程中,达到隐藏自身的目的。因此dll后门木马在隐藏技术上比普通木马有了质的飞跃,当然危害性也就大大增加了。-phpdll后门
dll后门木马的运作方式
dll后门木马的危害主要分为两方面:1.隐蔽性,由于其可以“寄宿”于任一应用程序的进程,包括系统进程,因此我们很难发现其存在。2.难删除:上文中我们提到被dll后门木马插入的进程是无法结束的,因此要想清除并不容易。-phpdll后门
我们来结合实际看看dll后门木马的使用和运作过程。bits是一款著名的dll后门木马,其具备了dll后门木马的所有特点,没有进程,也不开启端口,隐蔽性很强,是dll后门木马的代表。
bits的安装
bits只有一个dll文件——bits.dll。点击“开始”→“运行”,输入“rundll32.exe
bits.dll,install
123456”即可成功让bits进驻系统。
▲安装bits
bits的使用
假设运行bits的计算机IP地址为192.168.0.1,黑客可以使用一款网络工具nc,在“命令提示符”中运行nc后输入命令“nc
192.168.0.1
80”。回车后会发现没有回显,此时我们需要输入“123456@dancewithdolphin[xell]:777”才能命令bits。这条命令的作用是绑定一个shell到本机的777端口,此时黑客再连接目标主机的777端口就可以在目标计算机上执行任意命令了。一般的dll后门木马都需要类似的安装和使用,虽然比普通木马要来得麻烦,但是威力是相当大的。-phpdll后门
▲连接bits开启后门
清除木马
bits的清除还是比较简单的,首先运行注册表编辑器,定位到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters,将
ServiceDll的键值更改为“%SystemRoot%System32rasauto.dll”即可,然后将系统目录system32文件夹下的bits.dll删除即可。
▲清除bits
dll后门木马的防范
1、当系统存在问题时,我们可以查看进程中的dll文件,找出隐藏在其中的dll后门木马。查看进程中的dll文件可以使用Windows优化大师的进程管理功能,点击进程后,在下方会出现该进程中包含的dll文件,如果是系统进程,那么其dll文件的发行商都应该是“Microsoft”,否则就很有可能是dll后门木马。找到dll后门木马后将进程结束,再根据路径将dll后门木马删除即可。-phpdll后门
2、及时更新杀毒软件。dll后门木马虽然和普通木马不同,但仍旧是木马,还是可以被杀毒软件查杀的,只要我们及时升级杀毒软件病毒库,对防范dll后门木马还是有很大帮助的。
phpstudy有哪些漏洞
phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。但是存在后门漏洞,可直接getshell。-phpdll后门
漏洞存在版本:phpStudy2016php\php-5.2.17\ext\php_xmlrpc.dllphp\php-5.4.45\ext\php_xmlrpc.dllphpStudy2018PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dllPHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll-phpdll后门
准备工作:服务器:192.168.29.135(Windows server 2008 SP2)phpStudy2016(php-5.4.45+Apache)
漏洞成因
查看文件C:\phpStudy\php\php-5.4.45\ext\php_xmlrpc.dll(这是我的安装路径,根据实际的安装情况查看安装路径),Ctrl+F查找关键字“@evel”,找到了“@eval(%s('%s'));”,这也是漏洞的成因。-phpdll后门
如何找到PHP后门隐藏技巧
可以通过一些关键字或者正则来进行匹配
(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))',
'(base64_decode\([\'"][\w\+/=]{200,}[\'"]\))',
'eval\(base64_decode\(',
'(eval\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',
'(assert\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',
'(\$[\w_]{0,15}\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',
'(wscript\.shell)',
'(gethostbyname\()',
'(cmd\.exe)',
'(shell\.application)',
'(documents\s+and\s+settings)',
'(system32)',
'(serv-u)',
'(提权)',
'(phpspy)',
'(后门)',
'(webshell)',
'(Program\s+Files)'
php网站怎么留后门
所谓后门,就是一段代码。但是要被触发,比如,当你把文件上传到服务器上以后,打开这个页面,就会直接读取数据库,比如某些博客程序,别人给你的,他直接多放了一个文件,里面有获取config.php的,然后直接显示这个文件的密码配置,这个就是后门。-phpdll后门
