php - 如何检测坏人植入的 base64 编码字符串？

Question

在调查黑客攻击时，我偶尔会看到包含类似内容的文件

<?php $_f__db='base'.(128/2).'_de'.'code';$_f__db=$_f__db(str_replace("\n", '',
'NrFujw3uBxuQgdlYFMmhRT5V9BI7aFnbviWhPbszFd2E/c3ZpFcl++i/D7YTZS/SS/UmjeX5iUwPas6c
lSM+lWVedpU7QjEjf4CDapQAkqXpaTvaQ3g247sz4HjqGhV71TFRk69+EctaM7tmymteKtT9OSwsSBmp

我很乐意只扫描“base64_decode”，但坏人正在混淆这一点 - 关于检测这类事情有什么想法吗？

Answer 1

你可以像 Lynis 这样使用扫描器

# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis

然后使用

lynis audit system

扫描服务器

你也可以使用chkrootkit

# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense

然后你这样做来开始扫描

sudo chkrootkit

Rkhunter 可能也值得一提

# yum install epel-release
# yum install rkhunter

然后

rkhunter -c

扫描

您也可以在这里查看这个项目。 https://github.com/jvoisin/php-malware-finder

它检测到很多混淆/狡猾的代码。

还有其他的，如 ClamAV 和 LMD，但以上任何一种都可以找到大多数病毒。但没有什么能比得上人眼 ;-) 密切关注服务器进程和新添加的文件是一个很好的做法。如果您不需要 base64，您可以随时将其作为阻塞函数添加到 PHP.ini。

请记住，由于现代编码提供了创造性的可能性，黑客将始终在混淆方面占据优势……除了使用多种工具并保持警惕之外，您无能为力。

我在我的每台服务器上都有 4 次自动扫描，我还跟踪文件更改和文件上传。如果您希望一个线性搜索代码可以完成所有工作，请失望。这是每个安全专家都必须面对的噩梦。对付病毒的最佳方法是首先确保它们无法上传。