背景:早上發現安全監控系統告警,某服務器存在Webshell
訪問這個後門(shopex4s7.php),嚇我一跳,我膽小啊:
查看該後門創建及訪問時間:
鎖定攻擊ip與訪問時間,發現了另一個新的後門鏈接:
接着溯源發現攻擊者通過某個富文本編輯器上傳的後門,備份清理後門,堵上漏洞。。。。
重點來了:
訪問該大馬anchor.php,功能很強大:
問題是,主機入侵檢測系統(HIDS)竟然沒掃出這個後門,而且就在前一天我用深信服的WebshellKill工具也都沒掃出來。
下載這個後門研究一下:
1、先用深信服的工具掃描:
2、再用D盾掃描,只掃出了1個:
開始分析anchor.php:
代碼如下:
該腳本大致邏輯:
0x01:先用str_rot13()對後門腳本進行編碼,再用unpack進行HEX轉碼得到一長串字符串$str。
0x02: 再用str_rot13()和pack()對Str進行復原,得到$str源碼。
0x03:最後用eval()執行復原的代碼
最後把$str的源碼寫入腳本anchor_src.php,使用360殺毒掃描如下:
總結:深信服webshellkill、360殺毒、D盾 Webshell規則庫都不能識別該後門(anchor.php)。
最後發現該後門實際上應該 Spider PHP Shell (SPS-3.0) ,然後做了隱藏,且功能非常強大,通過該後門能幹的事很多。