所谓后门,就是一段代码.但是要被触发,比如,当你把文件上传到服务器上以后,打开这个页面,就会直接读取数据库,比如某些博客程序,别人给你的,他直接多放了一个文件,里面有获取config.php的,然后直接显示这个文件的密码配置,这个就是后门.
可以通过一些关键字或者正则来进行匹配
'(wscript\.shell)',
'(gethostbyname\()',
'(cmd\.exe)',
'(shell\.application)',
'(documents\s◆and\s◆settings)',
'(serv-u)',
'(提权)',
'(phpspy)',
'(后门)',
'(webshell)',
'(Program\s◆Files)'
这个特征是你的扫描器自定的,你可以看到后面还有一列特征
里面的字符串就是扫描器,扫读源码发现该文件内有该字符串,才会列出的
其实这种类型的判断并不准确,但可以大致锁定范围
PHP中eval函数的确是PHP后门中常用的招数
该攻击是由 Jetpack 的研究人员发现的,Jetpack 是 WordPress 网站安全和优化工具的创建者,他们发现 PHP 后门已被添加到主题和插件中.
Jetpack 认为外部威胁攻击者入侵了 AccessPress 网站以破坏软件并感染更多的 WordPress 网站.
检测这种威胁的唯一方法是使用核心文件完整性监控解决方案,因为恶意软件会删除"initial.php"文件释放器以掩盖其踪迹.
我受到影响吗?
如果您在您的网站上安装了其中一个受感染的插件或主题,则删除/替换/更新它们不会根除任何可能通过它植入的 webshel l.
所以呢,建议网站管理员通过执行以下操作来扫描他们的网站是否存在入侵迹象:
Jetpack 提供了以下 YARA 规则,可用于检查站点是否已被感染并检测 dropper 和已安装的 webshel l:
以上就是土嘎嘎小编为大家整理的php后门收集项目相关主题介绍,如果您觉得小编更新的文章只要能对粉丝们有用,就是我们最大的鼓励和动力,不要忘记讲本站分享给您身边的朋友哦!!