/data/www/ 这样就能搜索出来 文件中包含关键词的文件 –color是关键词标红 -i是不区分大小写 -r是包含子目录的搜索 -d skip忽略子目录 可以用以上命令查找网站项目里的带有挂马的文件...然后用stat查看这个木马文件的修改时间,最后去寻找WEB日志,找出木马从哪里进来的 五: 实用查找PHP木马命令: 查找PHP木马 # find ./ -name “*.php” |xargs egrep.../ -name “*.php” |xargs grep “passthru” |more 还有查看access.log 当然前提是你网站的所有php文件不是很多的情况下 一句话查找PHP木马 # find...肯定不是一个文件一个文件的检查,Linxu有强悍的命令 grep ‘eval’ * -R 全盘搜索当前目录所有文件(包含子目录)中带有eval的文件,这条可以快速查找到被挂马的文件。...思路:负责的站点是Linux,只开了2个端口,一个22和80,外部的执行命令是由从80端口进来,Selinux报httpd访问/boot文件,确认被挂马。而所有的命令执行必须POST提交给执行的文件。
注:本文仅供学习参考 网页挂马简介 网页挂马指的是把一个木马程序上传到一个网站里面,然后用木马生成器生成一个网马,放到网页空间里面,再加代码使得木马在打开网页时运行。...网页挂马工作原理 作为网页挂马的散布者,其目的是将木马下载到用户本地并进一步执行,当木马得到执行后,就意味着会有更多的木马被下载,且进一步被执行。...检测方式 1特征匹配:将网页挂马的脚本按脚本病毒进行检测,但是网页脚本变形方式、加密方式比起传统的PE格式病毒更为多样,检测起来也更加困难。...网站挂马实验 准备win7实验机和kali kali ip地址为10.1.1.101 1.将以下代码插进我们准备的网站中 将宽度高度都设为0,这个地址就会变成透明,不查看源代码的话是发现不了的 这里的网马地址设置为...003IE漏洞攻击win7主机 执行命令 use exploit/windows/browser/ ms11_003_ie_css_import’,选择漏洞利用EXP 设置SRVPORT URIPATH与网马中的
Usage: python check_change.py update /home/wwwroot
~(这里以冰蝎V4.1为例) 冰蝎php木马解读 php7.1之前生效) 废话不多说上截图: 这个马子之前我改过一次了,大概按照上述的方法又做了点,大差不差。...测试连接 ①经典phpstudy上线 ②手动挂马(滑稽黑客) ③直接访问没有报错(下面的utf-8是我写在php之外的) ④冰蝎上线,ok,no趴笨! 上实战!...先放上一张冰蝎php原马在vt上的情况做对照: 免杀马查杀结果直接上截图: ①vt全过 ②360沙箱云(非专业版)未检测出 ③微步云沙箱,险胜! 开始骄傲 我觉得自己又行了 ④大圣云沙箱 Damn!...其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原马都查杀不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查杀我都基本试过了,基本除了安恒云沙箱都能稳过
我们来分析以下这个方法,想办法通过addListener方法把恶意Listener注入内存。 首先addListener方法是这么用的。...Filter内存马与Listener内存马还是有点区别的,要复杂一点点 doFilter方法如何被执行?...配置filter 再开始分析Filter内存马时,我们需要先知道,Filter类中的doFilter方法是如何被执行的。 OK我们先创建好一个Filter。...下面的两层 向下分析来到ApplicationFilterChain#doFilter.这一层很简单,调了个internalDofilter就没了 再向下分析来到ApplicationFilterChain...流程上来说与Listener内存马差不多 打断点 跟进 再跟 继续跟 来到此处,与Listener内存马神似。
样本来自看雪论坛http://bbs.pediy.com/showthread.php?t=204096,当时已给出答案,此处主要写一下分析过 程,算是总结一下,共同进步。...首先声明,该样本未被加壳,程序部分混淆,但不严重,主要看论坛中还未涉及此类话题,其次论坛中有人对此加密号码分析过程还 比较感兴趣,所以来一发。...现 在拦截马还是层出不穷啊,作者也开始考虑隐蔽自己了,有用邮箱发送信息的,账号密码也是类似加密的,以前都是全明文(邮箱被破?网站被爆菊?被反向钓鱼?...这次分析主要还是看java代码,根据函数的交叉引用进行逆向的回溯追踪,直到MainActivity->onCreate,其实主要还是个体力活。...这些都是方法,本方法主要还是想提高一下逆向分析能力,对于理解程序流程很有意义,知其然更要知其所以然吗!
表达式导致非法字节码无法分析的问题 如何对字节码进行分析以确定某个类是内存马 基于静态分析动态,打破规则之道 -- Java King 对本文的评价...Arthas编写的copagent项目,分析JVM中所有的Class,根据危险注解和类名等信息dump可疑的组件,结合人工反编译后进行分析 但实战中,可能并不是以上这种注册新组件的内存马 例如师傅们常用的冰蝎内存马...,做到一条龙式服务: 检测(同时支持普通内存马和Java Agent内存马的检测) 分析(如何确定该类是内存马,仅根据恶意类名和注解等信息不完善) 查杀(当确定内存马存在,如何自动地删除内存马并恢复正常业务逻辑...马需要从sa-jdi.jar本身入手,想办法dump得到当前字节码(这样不止可以分析被修改了字节码的Agent马也可以分析普通类型的内存马) 注意到其中一个类:sun.jvm.hotspot.tools.jcore.ClassDump...总之目前能继续了 分析字节码 分析字节码并不需要太深入做,因为大部分可能出现的内存马都是Runtime.exec或冰蝎反射调ClassLoader.defineClass实现的,针对于这两种情况做分析,
也有不少更加彻底直接通过篡改文件来挂载Flash水坑文件来诱导用户下载恶意文件,本篇文章主要是通过介绍近期在应急响应阶段中的几个水坑挂载木马的安全事件从侧面介绍关于水坑挂载的排查思路以及方式,同时对水坑挂载的恶意文件内容进行简要分析...事件分析 JSP文件篡改操作 事件介绍 客户一侧反映用户访问应用首页时出现异常现象,直接出现弹窗并诱导用户下载绑定恶意木马后门文件的"弱口令"扫描工具,已有个别用户下载并在安装时杀软提示恶意文件告警,...具体表现如下所示; 排查分析 远程客户系统后通过前端检索关键的提示内容"【重要通知】xxxxxxxxxxxxx"定位到时login.jsp文件,随后去法翻应用系统的login.jsp文件发现并没有所谓的文件内容被植入...同时也要考虑此类场景中出现的篡改模板首页文件植入恶意代码的情况 JS篡改+Flash挂载 事件介绍 客户一侧反馈用户在访问服务时直接提示Flash版本过低被强制要求下载Flash文件,下载安装之后依旧无法正常访问应用系统,存在异常现象继续排查解决 排查分析...UcLgn1LDbiCJYwfGWDvbSRGoZdOmbwb8bZKBXwE40doXBCMtQiQYMO3w6ZldMbHEWrmQsAuyx49APyLWffPvtwVQRHe0tt5POyzILH3POzPnZaM/9KIWE0pxWWojQ5jVkLdPqNeSQY3KtmrXVCiDy/dW/7BILHyogwj0FKvhAiIYnKCjXTTiVUAKxw8wwTBk/PHP
对于小块内存, PHP还引入了cache机制: ? 引入cache机制希望做到,一次定位就能查找分配。...下面会具体说明PHP是如何管理内存,在说明之前先说明下环境,笔记实验的机器是64位的,下面的数据都是基于这个前提。...PHP内存管理主要是围绕free_buckets和large_free_buckets这二个数组来 展开的,这二个数组都是一个长度为64的数组。...从操作系统分配内存后,PHP会根据前面的换算关系,将内存块放到相应的内存块中,便于后续快速分配。...四、总结 1、PHP的内存分配主要是围绕两个数组来展开:free_buckets和large_free_buckets,其中前者用来管理小块内存,后者用来管理大块内存。
在这次源码分析的过程中我收获很大,第一次学会了如何深入理解一个问题,虽然花费了我很多时间,但这可以说是一段非常值得的经历。 正文 首先引入一个问题,为什么以下结果是恒为真的呢?...我们再通过查阅PHP源码来深刻理解PHP弱类型的特点 PHP是开源的一种语言,我们在Github上可以很容易的查询到它的源码 传送门 这里找函数会方便点 当然解释下什么是Zend Zend是PHP语言实现的最为重要的部分...当然下一个问题,为什么我们要定位到函数is_smaller_function 这里主要是靠对于PHP源码的熟悉,进行猜测,当然有的时候分析源码的时候可以讲PHP源码下载下载,部分IDE会有提供函数来源的功能...ZVAL_BOOL(result, (Z_LVAL_P(result) < 0)); return SUCCESS; } 这里有一个compare_function函数以及 ZVAL_BOOL 我们先分析下...这里进行swich 判断op1 与 op2 的类型 这里我们先拿第一句进行分析 case TYPE_PAIR(IS_LONG, IS_LONG): ZVAL_LONG(result
XXL-JOB EXECUTOR/Flink 对应的内存马 原文链接: https://forum.butian.net/share/2593 前言 作为Java内存马板块最冷门的一个,文章也不是很多,...比如XXL-JOB的excutor就是一个基于netty的应用,实际上也没太认真去分析过这些内存马,还是逃不掉的捏。...然后我们首先研究netty层的内存马 Netty内存马 Netty他也是一个中间件,但他比较独特,他是动态生成pipeline然后进行处理。...WebFilterChain chain) { NettyMemshell.doInject(); return null; } } 这里就直接注入,调试分析一下...通过构造内存马对哥斯拉内存马的逻辑又加深了一层,哥斯拉内存马主要是进行defineclass执行指令。
这一功能使得开发者能够在运行时动态地注册Servlets、Fliter、Listener,而无需在web.xml配置文件中进行静态配置,这种灵活性大大简化了Web应用程序的管理和扩展,同时也为我们构造Tomcat中间件内存马奠定了基础...Filter初始化创建,当我们访问/test路由的时候,控制台继续输出[*] Filter执行过滤操作,当我们结束tomcat的时候,会触发destroy方法,从而输出[*] Filter已销毁 调试分析...filterName、urlPatterns 动态注册 下面我们的任务就是构造含有恶意filter的FilterMaps和FilterConfig对象并将FilterConfig添加到filter链,而经过上面的分析...)类,传入StandardContext与filterDefs,存放到filterConfig中 第一个任务 首先第一个任务就是要获取一个StandardContext,这个和之前的《Tomcat内存马之...cmd=ipconfig"); } } } } 完整POC 下面是完整的内存马示例代码: <%@ page import
悍马(Hummer)病毒全球日活119万 据猎豹移动安全实验室吧监测数据,2016年1-6月,悍马(Hummer)病毒的平均日活119万,超过其他所有手机病毒的感染数据,悍马病毒已成世界排名第一的手机病毒...印度是悍马病毒感染量最高的国家,在印度肆虐的十大手机病毒中,第2、3名是悍马病毒家族成员,第6名是悍马病毒推广安装的其他病毒。 ?...悍马病毒样本变种数在2016年4-5月份达到高峰,和该病毒在全球的感染量增长基本吻合。 ? “悍马(hummer)”病毒家族的发现 ?...悍马病毒在手机上的运行方式 悍马病毒使用了私有壳 ? 实际主体在stream.png的文件里 ? 在这个png 实际上是一个加密后的 elf 被载入后释放一个zip ?...追踪 猎豹移动安全实验室对悍马病毒的历史进行溯源,发现该病毒家族很早就有发现,变种依然十分活跃。 也有其他国外安全厂商有过分析报道:Checkpoint 这是一个什么样的病毒组织呢?
应用程序的生命周期内执行各种操作,例如:初始化资源、销毁资源、处理会话事件等,根据事件源的不同,我们可以将Listener分为如下几种,其中ServletRequestListener最适合用来作内存马,...这一功能使得开发者能够在运行时动态地注册Servlets、Fliter、Listener,而无需在web.xml配置文件中进行静态配置,这种灵活性大大简化了Web应用程序的管理和扩展,同时也为我们构造Tomcat中间件内存马奠定了基础...ServletRequestEvent sre) { System.out.println("[+] initial TestListener"); } } 运行结果如下所示: 调试分析...我们在requestInitialized方法处下断点进行调试分析: 完整的调用栈如下所示: requestInitialized:15, ListenerTest (com.al1ex.servlet...Listener型内存马的实现步骤: 获取StandardContext上下文 实现一个恶意的Listener示例 通过StandardContext#addApplicationEventListener
比如XXL-JOB的excutor就是一个基于netty的应用,实际上也没太认真去分析过这些内存马,还是逃不掉的捏。...然后我们首先研究netty层的内存马Netty内存马Netty他也是一个中间件,但他比较独特,他是动态生成pipeline然后进行处理。Netty内存马注入的关键就是找插入类似Filter东西的位置。...exchange, WebFilterChain chain) { NettyMemshell.doInject(); return null; }}这里就直接注入,调试分析一下在...通过构造内存马对哥斯拉内存马的逻辑又加深了一层,哥斯拉内存马主要是进行defineclass执行指令。...2个马都比较好玩,其中Netty我用的是JAVA_AES_RAW,并无base64加密。
0x01 介绍 看了一些大佬的查杀内存马文章,很少有Spring相关内存马的检测方式 有部分是借助javaagent得到jvm中所有已加载的类然后分析,显得有点庞大 是否可以只借助Spring框架本身做检测呢...从检测思路上得到了一种进阶的内存马:隐形马,也可以叫做劫持马 劫持正常的Controller改为内存马,表明上一切正常,通过检测手段无法发现 0x02 检测效果 笔者基于SpringMVC本身写了一些检测代码..._mappingRegistry.setAccessible(true); Object mappingRegistry = _mappingRegistry.get(rmhMapping); 参考分析步骤拿到...protected Method getBridgedMethod() { return this.bridgedMethod; } 关于桥接方法,主要是JDK为了兼容泛型做的操作,不做深入分析.....' is not an instance of the actual controller bean class 'com.example.spring.ApiController' 这个原因好分析
二、fpm整体流程 在分析之前,有必要对php-fpm整体流程有所了解。...php_execute_script:使用Zend VM对php脚本文件进行编译(词法分析+语法分析)生成虚拟机可识别的opcodes,然后执行这些指令。...//分析buf里FCGI_BEGIN_REQUEST的data中FCGI_ROLE,一般是RESPONDER switch ((((fcgi_begin_request*)buf)->roleB1...下面我们基于上图,结合着代码进行详细分析。...五、总结 本篇wiki,从源码角度分析了php中_POST的原理,展现了FastCGI协议的整体处理流程,以及针对不同Content-Type的处理差异化,并为application/json动手编写了
xhprof是php的一个性能分析扩展,它可以帮助我们查看php执行情况,有助于我们优化php的执行语句..../configure --with-php-config=/www/server/php/72/bin/php-config make && make install 在php.ini增加配置 [xhprof...'; include_once '/home/tioncico/www/xhprof/xhprof_lib/utils/xhprof_runs.php'; 开启性能分析:xhprof_enable函数...开启性能分析之后,php的代码都会被监控,进行分析运行状态 关闭性能分析 $xhprof_data = xhprof_disable();//关闭性能分析 $xhprof_runs = new \XHProfRuns_Default...(); $run_id = $xhprof_runs->save_run($xhprof_data, 'your_project');//把性能分析的报告保存到output_dir目录 查看性能分析:
XDebug是一个开放源代码的PHP程序调试器(即一个Debug工具),可以用来跟踪,调试和分析PHP程序的运行状况。是一个C语言扩展包(Windows下扩展名为.dll)。 ...配置 复制php_xdebug.dll到$php_installed_dir/ext目录下,修改php.ini,可以先设置如下选项: Php.ini代码 [Xdebug] extension...php phpinfo()?>,看到如下选项表明安装成功 4. 开始调试 1). Test Case1 Php代码 php require_once('empty.php'); ?...第四部分:分析PHP脚本 相关参数设置 xdebug.profiler_append 类型:整型 默认值:0 当这个参数被设置为1时,文件将不会被追加当一个新的需求到一个相同的文件时(依靠xdebug.profiler_output_name
0x01 项目搭建 Servlet 规范中定义了 8 个监听器接口,其中最适合用来做内存马的是ServletRequestListener,它被用于监听 ServletRequest 对象的创建和销毁过程...>com.yulate.tomcatmemory.listener.memoryListener 0x02 流程分析...0x03 内存马实现分析 相对于filter内存马listener内存马要简单的很多,没有filter调用链这种东西 在上述流程分析中提到getApplicationEventListeners方法能够获取到全部的...{ e.printStackTrace(); } } } 插入listener 使用上述分析出的...evalListener = new EvalListener(); context.addApplicationEventListener(evalListener); JSP 内存马
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
