论坛风格切换
  • 5662阅读
  • 2回复

php蜜罐系统 [复制链接]

上一主题 下一主题
离线太史慈
 

发帖
766
金币
626
威望
556
只看楼主 倒序阅读 使用道具 楼主  发表于: 2011-11-16
php木马查杀步骤:
1、通过特征码进行木马的查杀
  1. grep -r --include=*.php  '[^a-z]eval($_POST' . > grep.txt
  2. grep -r --include=*.php  'file_put_contents(.*$_POST\[.*\]);' . > grep.txt

2、进行入侵跟踪
在php.ini中加入一行  
  1. auto_prepend_file = /home/log/log.php

3、vi /home/log/log.php
  1. <?php
  2. define('LOG_DIR','/home/log/');
  3. $log_uri = $_SERVER['PHP_SELF'].($_SERVER['QUERY_STRING'] ? '?'.$_SERVER['QUERY_STRING'] : '');
  4. $log_file_name = LOG_DIR.$_SERVER['HTTP_HOST'].'-'.date('m-d-H').'.txt';
  5. if($_POST){
  6.   $var_post = var_export($_POST,true)."\r\n";
  7. }else{
  8.   $var_post = '';
  9. }
  10. $log_formate = date('H:i').' '.log_pwGetIp().'  '.$log_uri.' '.$_SERVER['HTTP_USER_AGENT']."\r\n".$var_post;
  11. log_write_over($log_file_name,$log_formate,'ab+');
  12. function log_write_over($fileName, $data, $method = 'rb+', $ifLock = true, $ifCheckPath = true, $ifChmod = true) {
  13. // $fileName = Pcv($fileName, $ifCheckPath);
  14. touch($fileName);
  15. $handle = fopen($fileName, $method);
  16. $ifLock && flock($handle, LOCK_EX);
  17. fwrite($handle, $data);
  18. $method == 'rb+' && ftruncate($handle, strlen($data));
  19. fclose($handle);
  20. $ifChmod && @chmod($fileName, 0777);
  21. }
  22. function log_pwGetIp() {  
  23. if ($_SERVER['HTTP_X_FORWARDED_FOR'] && $_SERVER['REMOTE_ADDR']) {
  24.   if (strstr($_SERVER['HTTP_X_FORWARDED_FOR'], ',')) {
  25.    $x = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
  26.    $_SERVER['HTTP_X_FORWARDED_FOR'] = trim(end($x));
  27.   }
  28.   if (preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_FORWARDED_FOR'])) {return $_SERVER['HTTP_X_FORWARDED_FOR'];}
  29. } elseif ($_SERVER['HTTP_CLIENT_IP'] && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {return $_SERVER['HTTP_CLIENT_IP'];}
  30. if (preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['REMOTE_ADDR'])) {return $_SERVER['REMOTE_ADDR'];}
  31. return 'Unknown';
  32. }
  33. function log_getdirname($path = null) {
  34. if (!empty($path)) {
  35.   if (strpos($path, '\\') !== false) {
  36.    return substr($path, 0, strrpos($path, '\\')) . '/';
  37.   } elseif (strpos($path, '/') !== false) {
  38.    return substr($path, 0, strrpos($path, '/')) . '/';
  39.   }
  40. }
  41. return './';
  42. }
  43. ?>

4.根据统计信息,找到php的入口。
5.堵住漏洞,进行安全防范
2条评分金币+2
mgarfield 金币 +1 给你个好评哦亲~ 2011-11-17
谯周 金币 +1 地球已经无法阻止你了 2011-11-17
[url=http://www.phpwind.com]phpwind[/url]
离线mgarfield

发帖
520
金币
0
威望
62
只看该作者 沙发  发表于: 2011-11-17
给你个好评哦亲~
离线谯周

发帖
142
金币
0
威望
55
只看该作者 板凳  发表于: 2011-11-17
这部份可以再加上一部份可以修改的程序文件,如果不在data/和html/目录下的php文件,如果想通过程序来修改,则退出。。。
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
提到某人:
选择好友
上一个 下一个