之前写过两篇关于处理客户服务器被入侵的文章,分别如下:
官网被入侵的反思
对服务器中恶意程序分析的收获
其实,我们公司是一个小的软件外包公司,维护的客户不是系统方面的,就是网站方面的,关于维护安全相关的工作,也不知道是怎么签订的合同,竟然安全的维护也接了,不过好在就是一个部署在阿里云的网站。
PHP 恶意程序样本
之前虽然多少了解过一些关于信息安全、网络安全方面的知识,但是 Web 方面的恶意程序没有关心过,倒是二进制的恶意程序多少了解过一些。但是这次也算是有幸遇到了这么一个脱离书本的货真价实的 Web 恶意程序。
大体看一下这个恶意程序的长相,大体代码如下:
$password = "v587";
error_reporting(E_ERROR);
header("content-Type: text/html; charset=gb2312");
set_time_limit(0);
$str = "66756r6374696s6r20526s6";
$dir = pack("H*",str_rot13($str));
eval($dir);
代码中的 $str 变量的值我没有给全,我测试了一下,还是可以运行的,不过在运行时我把最后一行的 eval 修改为 print,在命令行下运行,运行结果如下:
function Ro`
可以看到,输出了一串字符。对于多少了解些 PHP 的应该能想到,在 $str 变量中保存的本身就是被编码过的代码,而使用 pack 和 str_rot13 则可以还原为原来的 PHP 代码,并通过 eval 函数执行原来的 PHP 代码。
简单分析
这个 Web 恶意程序本身 $str 变量中保存的内容特别的多,其实它是一个功能很强大的 Web 恶意程序。为什么需要编码呢?咱们一步一步的说。
想要查看编码后的代码,需要把 eval 函数修改为 print 函数。但是,直接修改 eval 函数为 print 函数来查看编码前的代码是很不方便的,因为会滚屏。那么,我把 eval 函数换成了 file_put_contents 函数,也就是把解码后的代码直接写入到文件中。这样查看就会很方便了。
当我将 eval 函数修改为 file_put_contents 函数后,在命令行下运行这个 PHP 恶意程序,在生成文件的时候,我系统的杀毒软件给出了警告,并且生成的文件消失了。也就是说生成的文件被杀毒软件查杀掉了。
到这里,Web 恶意程序编码的第一个原因已经了解了,也就是说这个 Web 恶意程序如果不编码是会被杀毒软件查杀的,而进行编码后,就躲避了杀毒软件的查杀,因为文件被加载的时候,Web 恶意代码没有被还原,所以绕过了杀毒软件的查杀,而解码后通过 eval 函数直接运行是不会生成文件的,那么相当于直接在内存中执行了。
那么,第二个原因呢?其实第二个原因我觉得就比较简单了。迷惑管理员,当管理员看到 $str 变量中有这么一堆数字时可能是没有心情去研究这是干什么的。其实拿到这样的代码时,很多 PHP 程序员也不一定愿意去研究的,毕竟程序员的主要工作是完成需求相关的代码,而不是研究一个对自己用处不是特别大的代码。
把代码进行编码
既然是分析,那么就要研究一下他是如何把 PHP 代码编码为 $str 变量中那样的字符串的。这个我也研究过了,但是就不想发在这里了。如果感兴趣的话,关注我的公众号,并回复 codephp 关键字来进行获取吧。
