Web木马

Web木马的概念

web木马:用Web系统语言(如:ASO,PHP,JSP等)编写的木马，木马上传服务器后当成页面被攻击者访问，常当做后门.
Web木马危害:后门；文件，数据库操作；修改Web页面

Web木马的特点

• Web的特点一:Web木马可大可小
• Web的特点二:无法有效隐藏
• Web的特点三:具有明显特征值
  命令执行函数:ebval,system,popen,exeshell_exec等
  文件功能函数:fopen,opendir,dirname,pathinfo等
  数据库操作类函数:mysql_query,mysqli_query等
• Web木马的特点:必须为可执行的网页格式

一句话木马

一句话木马:实现基本的链接功能，在web服务器上"打开窗口"
以PHP为例：

<?php @eval($_POST[‘c’])?> <? —— 脚本语言开始标记 @eval —— 执行后面请求到的数据 @eval($_POST[‘c’] —— 获取客户端提交的数据， 其中pass就是需要获取的参数，也可以理解为密码 ?> —— 脚本语言结束标记

一句话木马变形方法:
1.更换执行数据来源
利用get方式

<?php $_GET['a']($_GET['b'];?)>
a传入执行命令
b传入执行代码

【中国菜刀chooper.exe:管理网站文件的软件(类似于木马控制端)】

图片或日志
2.字符替换或特殊编码
3.采用藏匿手段
4.混合上述手段

小马和大马

大马小马:文件大小和功能大小区别于一句话木马，也是WebShell后门木马，是以asp，php，jsp或者cgi等网页文件形式存在的一种命令执行环境.

• 更新防护类工具
• 对服务器文件夹设置严格的读写权限
• 禁用敏感危险函数
• 定期观察系统服务管理中心的服务
• 定期检查是否有可疑进程
• 检车是否近期有可执行文件