Web木马的概念
web木马:用Web系统语言(如:ASO,PHP,JSP等)编写的木马,木马上传服务器后当成页面被攻击者访问,常当做后门.
Web木马危害:后门;文件,数据库操作;修改Web页面
Web木马的特点
- Web的特点一:Web木马可大可小
- Web的特点二:无法有效隐藏
- Web的特点三:具有明显特征值
命令执行函数:ebval,system,popen,exeshell_exec等
文件功能函数:fopen,opendir,dirname,pathinfo等
数据库操作类函数:mysql_query,mysqli_query等 - Web木马的特点:必须为可执行的网页格式
一句话木马
一句话木马:实现基本的链接功能,在web服务器上"打开窗口"
以PHP为例:
一句话木马变形方法:
1.更换执行数据来源
利用get方式
<?php $_GET['a']($_GET['b'];?)>
a传入执行命令
b传入执行代码
【中国菜刀chooper.exe:管理网站文件的软件(类似于木马控制端)】
图片或日志
2.字符替换或特殊编码
3.采用藏匿手段
4.混合上述手段
小马和大马
大马小马:文件大小和功能大小区别于一句话木马,也是WebShell后门木马,是以asp,php,jsp或者cgi等网页文件形式存在的一种命令执行环境.
- 更新防护类工具
- 对服务器文件夹设置严格的读写权限
- 禁用敏感危险函数
- 定期观察系统服务管理中心的服务
- 定期检查是否有可疑进程
- 检车是否近期有可执行文件
