【渗透】浅谈webshell隐藏

跟我一块儿念后门口诀：

挑、改、藏、隐 来个例子先，例一：

只由于在目录里多瞅了一眼，只一眼，就认出了你。为何你是那么的出众？

可疑点：文件名、时间、大小。（有点经验的人能很快发现这些上传的木马文件）

 1. 后门的选择

安全可靠（无隐藏后门，功能稳定。能够从可信度高的地方获取可靠的木马）

多兵种搭配（小马、大马、变态马） 常规马连接：

http://www.xxxxxx.org.hk/china60/axdx.php来个变态马的链接例子（这是一个能够用菜刀这样链接的小马，若是不填“?_=assert&__=eval($_POST['pass'])”则没法链接成功）：

http://www.xxxxxx.org.hk/china60/axdx.php?_=assert&__=eval($_POST['pass'])

2. 后门的预处理（上传以前能作的工做尽可能本地作好，少留痕迹）

改默认密码

更名—融入上传后所在的文件夹，让人很难直观地看出文件的异常

文件大小的假装处理（像正常脚本） 来个不太好的文件大小假装方式例子：为了使文件大小比较和谐，填充了不少无用字符。其实能够考虑复制所在文件夹其余正常脚本的内容。

 

3. 后门的植入 

植入方式的选择（上传、新建、嵌入）：上传是最直观的方式，有的站点禁止上传，能够经过新建一个文件，而后把马的内容复制进去保存。最隐蔽的是把木马嵌入网站原本就有的正常脚本中。 

修改文件时间 

狡兔三窟+深藏不漏：多藏几个后门，藏的路径深一点 

肯定访问路径后不要访问，少留记录：知道访问路径后，就不要再访问测试了，防止在日志中留下痕迹。

 再来个例子：（猛一看，看不出来这是马吧）

4. 清理工做 

清理碍眼的马（多是别人上传的）

 清理日志—服务器日志+系统日志 

总结：

口诀：挑、改、藏、隐

（精挑细选、改头换面、狡兔三窟+深藏不漏、大隐隐于市）