在调查黑客行为时,我偶尔会看到包含以下内容的文件
<?php $_f__db='base'.(128/2).'_de'.'code';$_f__db=$_f__db(str_replace("\n", '',
'NrFujw3uBxuQgdlYFMmhRT5V9BI7aFnbviWhPbszFd2E/c3ZpFcl++i/D7YTZS/SS/UmjeX5iUwPas6c
lSM+lWVedpU7QjEjf4CDapQAkqXpaTvaQ3g247sz4HjqGhV71TFRk69+EctaM7tmymteKtT9OSwsSBmp
我很想只扫描“base64_decode”,但坏人正在混淆这一点 - 关于检测此类事情的任何想法?
最佳答案
你可以像 Lynis 一样使用扫描仪
# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
然后使用
lynis audit system
扫描服务器
您也可以使用 chkrootkit
# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense
然后你这样做开始扫描
sudo chkrootkit
Rkhunter 可能也值得一提
# yum install epel-release
# yum install rkhunter
然后
rkhunter -c
扫描
你也可以在这里查看这个项目。
https://github.com/jvoisin/php-malware-finder
它检测到大量混淆/狡猾的代码。
还有其他的,如 ClamAV 和 LMD,但以上任何一种都可以找到大多数病毒。但没有什么比人眼更能胜任的 ;-) 密切关注服务器进程和新添加的文件是一种很好的做法。如果您不需要 base64,您可以随时将其作为阻止函数添加到 PHP.ini 中。
请记住,由于现代编码提供了创造性的可能性,黑客在混淆方面总是具有优势......除了使用多种工具并保持警惕之外,您无能为力。
我的每台服务器都有 4 次自动扫描,我还跟踪文件更改和文件上传。如果您希望一个类轮搜索代码来完成所有工作,请失望。这是每个安全专家都必须面对的噩梦。处理病毒的最佳方法是首先确保它们不能被上传。
关于php - 如何检测坏人植入的 base64 编码字符串?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/60085058/