黑客隐藏PHP文件后门的技巧

最近很多朋友都在问我是否能把我那一句话木马隐藏到HTML或图片里，其实把一句话木马插入到PHP文件中就已经很隐蔽了，如果说硬是要放到HTML文件或图片里，就接着往下看的这篇测试报告吧。
 
要知道如果光把PHP语句放到图片里是无论如何也不能执行的，因为PHP只解析扩展名为php的文件。所以说要能使隐藏在图片里的PHP语句执行。我们就的借助PHP中的调用函数 ：include 、require 等。

我们还记得前些日子把木马隐藏到图片的文章吧。也就是在PHP文件里用include("x.gif")这样的语句来调用隐藏在图片的木马语句。ASP中语句也类似。看似非常隐蔽但直接调用图片对稍微懂点PHP的人就不难发现可疑之处。由于URL 里用GET方式很难传递参数，这就使得插入木马的性能得不到发挥。 Chinaz

Include 函数在PHP中使用的比较频繁，所以引起的安全问题也实在太多，例如PHPWIND1.36的漏洞就是因为include后面的变量没做过滤引起的。由此我们就可以构造类似的语句来插入到PHP文件中。然后把木马隐藏到图片或HTML文件里，可以说隐蔽性就更高了。如在PHPWIND论坛里插入下面的语句：

＜‘’？@include includ/.$PHPWIND_ROOT；？ ＞ 站.长站

一般管理员是无法看出来的。 Chinaz

有了include 函数来辅助帮忙我们就可以把PHP木马隐藏到 诸如 txt、html和图片文件等很多类型的文件里来了。因为txt、html和图片文件这三种类型的文件最无论在论坛还是文章系统里是最为常见的了，下面我们就依次来做测试。 中国站.长.站

首先建立一PHP文件test.php 文件内容为：

Txt文件一般都是说明文件，所以我们把一句话木马放到目录的说明文件里就OK了。随便建立一个TXT文件t.txt。我们把一句话木马粘贴到t.txt文件里。然后访问 hxxp://localhost/test/test.php?test=../t.txt 如果你看到t.txt的内容就证明Ok了， 然后把在lanker微型PHP后门客户端 木马地址添入 hxxp://localhost/test/test.php?test=../t.txt 密码里添入cmd就可以了，执行返回的结果都可以看到。

对于HTML的文件，一般都为模版文件。为了使插入到HTML的文件的木马能被调用执行而且不被显示出来，我们可以在HTML里加入一个隐藏属性的文本框 ，如： 然后使用方法同上。执行的返回结果一般都可以查看源文件看到。 如使用查看本程序目录功能。查看源文件内容为 我可以得到目录为 C:\Uniserver2_7s\www\test。 Www~Chinaz~com

下面我们说说图片文件，要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接对一个图片进行编辑，把插入到图片末尾

经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入 

我们查看PHP环境变量 返回的是结果是原图片。

这里可能要和我们想象的结果有些差距了，其实命令已经运行了，只是返回的结果看不到而已，因为这是真正的GIF文件，所以是不会显示返回结果的，为了证明是否真的执行了命令我们 执行上传文件命令。果不出所料，文件已经成功上传到服务器上。这样伪造的优点是隐蔽性好。缺点也自然不用说了是没回显。如果你想看到返回的结果，那就拿出记事本伪造一个假的图片文件吧。

如何攻击，在此不作说明（也不要问我），主要谈谈如何防范。首先，跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的，所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等，可以使用htmlentities() 。

<?php
$str = "A ''''quote'''' is <b>bold</b>";

// Outputs: A ''''quote'''' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str);

// Outputs: A &#039;quote&#039; is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str, ENT_QUOTES);
?>

这样可以使非法的脚本失效。
 
但是要注意一点，htmlentities()默认编码为 ISO-8859-1，如果你的非法脚本编码为其它，那么可能无法过滤掉，同时浏览器却可以识别和执行。这个问题我先找几个站点测试后再说。

这里提供一个过滤非法脚本的函数：

function RemoveXSS($val) {
   // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
   // this prevents some character re-spacing such as <java\0script>
   // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs
   $val = preg_replace(''''/([\x00-\x08][\x0b-\x0c][\x0e-\x20])/'''', '''''''', $val);
   
   // straight replacements, the user should never need these since they''''re normal characters
   // this prevents like <IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>
   $search = ''''abcdefghijklmnopqrstuvwxyz'''';
   $search .= ''''ABCDEFGHIJKLMNOPQRSTUVWXYZ'''';
   $search .= ''''1234567890!@#$%^&*()'''';
   $search .= ''''~`";:?+/={}[]-_|\''''\\'''';
   for ($i = 0; $i < strlen($search); $i++) {
      // ;? matches the ;, which is optional
      // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars
   
      // &#x0040 @ search for the hex values
      $val = preg_replace(''''/(&#[x|X]0{0,8}''''.dechex(ord($search[$i])).'''';?)/i'''', $search[$i], $val); // with a ;
      // &#00064 @ 0{0,7} matches ''''0'''' zero to seven times
      $val = preg_replace(''''/(&#0{0,8}''''.ord($search[$i]).'''';?)/'''', $search[$i], $val); // with a ;
   }
   
   // now the only remaining whitespace attacks are \t, \n, and \r
   $ra1 = Array(''''javascript'''', ''''vbscript'''', ''''expression'''', ''''applet'''', ''''meta'''', ''''xml'''', ''''blink'''', ''''link'''', ''''style'''', ''''script'''', ''''embed'''', ''''object'''', ''''iframe'''', ''''frame'''', ''''frameset'''', ''''ilayer'''', ''''layer'''', ''''bgsound'''', ''''title'''', ''''base'''');
   $ra2 = Array(''''onabort'''', ''''onactivate'''', ''''onafterprint'''', ''''onafterupdate'''', ''''onbeforeactivate'''', ''''onbeforecopy'''', ''''onbeforecut'''', ''''onbeforedeactivate'''', ''''onbeforeeditfocus'''', ''''onbeforepaste'''', ''''onbeforeprint'''', ''''onbeforeunload'''', ''''onbeforeupdate'''', ''''onblur'''', ''''onbounce'''', ''''oncellchange'''', ''''onchange'''', ''''onclick'''', ''''oncontextmenu'''', ''''oncontrolselect'''', ''''oncopy'''', ''''oncut'''', ''''ondataavailable'''', ''''ondatasetchanged'''', ''''ondatasetcomplete'''', ''''ondblclick'''', ''''ondeactivate'''', ''''ondrag'''', ''''ondragend'''', ''''ondragenter'''', ''''ondragleave'''', ''''ondragover'''', ''''ondragstart'''', ''''ondrop'''', ''''onerror'''', ''''onerrorupdate'''', ''''onfilterchange'''', ''''onfinish'''', ''''onfocus'''', ''''onfocusin'''', ''''onfocusout'''', ''''onhelp'''', ''''onkeydown'''', ''''onkeypress'''', ''''onkeyup'''', ''''onlayoutcomplete'''', ''''onload'''', ''''onlosecapture'''', ''''onmousedown'''', ''''onmouseenter'''', ''''onmouseleave'''', ''''onmousemove'''', ''''onmouseout'''', ''''onmouseover'''', ''''onmouseup'''', ''''onmousewheel'''', ''''onmove'''', ''''onmoveend'''', ''''onmovestart'''', ''''onpaste'''', ''''onpropertychange'''', ''''onreadystatechange'''', ''''onreset'''', ''''onresize'''', ''''onresizeend'''', ''''onresizestart'''', ''''onrowenter'''', ''''onrowexit'''', ''''onrowsdelete'''', ''''onrowsinserted'''', ''''onscroll'''', ''''onselect'''', ''''onselectionchange'''', ''''onselectstart'''', ''''onstart'''', ''''onstop'''', ''''onsubmit'''', ''''onunload'''');
   $ra = array_merge($ra1, $ra2);
   
   $found = true; // keep replacing as long as the previous round replaced something
   while ($found == true) {
      $val_before = $val;
      for ($i = 0; $i < sizeof($ra); $i++) {
         $pattern = ''''/'''';
         for ($j = 0; $j < strlen($ra[$i]); $j++) {
            if ($j > 0) {
               $pattern .= ''''('''';
               $pattern .= ''''(&#[x|X]0{0,8}([9][a][b]);?)?'''';
               $pattern .= ''''|(&#0{0,8}([9][10][13]);?)?'''';
               $pattern .= '''')?'''';
            }
            $pattern .= $ra[$i][$j];
         }
         $pattern .= ''''/i'''';
         $replacement = substr($ra[$i], 0, 2).''''<x>''''.substr($ra[$i], 2); // add in <> to nerf the tag
         $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
         if ($val_before == $val) {
            // no replacements were made, so exit the loop
            $found = false;
         }
      }
   }
}

CodeIgniter 是一套给 PHP 网站开发者使用的应用程序开发框架和工具包。她提供一套丰富的标准库以及简单的接口和逻辑结构，其目的是使开发人员更快速地进行项目开发。使用 CodeIgniter 可以减少代码的编写量，并将你的精力投入到项目的创造性开发上。

她是一个小巧但功能强大的 PHP 框架，作为一个简单而“优雅”的工具包，她可以为 PHP 程序员建立功能完善的 Web 应用程序。如果你是一个与人共享主机并且为客户要求的期限而烦恼的开发人员，如果你已经厌倦了那些傻大笨粗的框架，那么 CodeIgniter 就是你所需要的，如果...

1. 你想要一个小巧的框架。
2. 你需要出色的性能。
3. 你需要广泛兼容标准主机上的各种 PHP 版本和配置(例如 PHP4)。
4. 你想要一个几乎只需 0 配置的框架。
5. 你想要一个不需使用命令行的框架。
6. 你想要一个不需坚守限制性编码规则的框架。
7. 你对 PEAR 这种大规模集成类库不感兴趣。
8. 你不希望被迫学习一门模板语言(虽然可以选择你要求的模板解析器)。
9. 你不喜欢复杂，热爱简单。
10. 你需要清晰、完整的文档。

主要更改：

一个数据库工厂类: 对数据库表和字段的维护。
一个增强的 Active Record 类库。
一个新的 Session 类，包含“flash 变量” 和附加的安全性。
一个可扩展的模型类：可自动装载模型。
可扩展的辅助函数，并且增加了新的辅助函数，增强了已有的辅助函数。
一个新的视图架构，它允许更简单的包含多个视图。
超过 120 项增强、改善和 BUG 修正。

下载:http://codeigniter.org.cn/downloads/

来自ESET的消息，新的专门感染PHP和Html文件的病毒及其变种于近期被发现，希望各位PHPer引起注意，及时升级您的杀毒软件。

名称：PHP.Alf

病毒类型：蠕虫

感染长度：846字节

危害级别：中

传播速度：中

技术特征：

这是一个非常简单的病毒，专门感染后缀为.php、.htm及html的文件。病毒运行后，首先将自己改名为Script.php，为完成这一功能，它通过如下步骤进行：

1、将自己更名为Dir.php；

2、创建C:\Php（若本地机器不存在此目录的话）；

3、将自己移动到C:\Php目录下，仍以Dir.php命名；

4、重新移回至刚开始运行的目录下，文件名改为Script.php。

接着，病毒在其运行目录下搜索含有如下后缀的文件：

1、.php

2、.htm

3、.html

它会打开每一个找到的文件，并在其中寻找字符串“Alf.php”，若没找到此字符串，该文件就会被感染。不过，它只是简单的添加一个参考标记至文件末尾，以便被感染文件打开时病毒每次都能运行。

看起来，病毒搜索并查找“Alf.php”文本串是用来作为感染标记，使得一个文件只会感染一次。不过，由于感染过程只是添加一个参考标记至文件末尾，并不是真正地拷贝病毒代码至文件中，因此文件还是能够被多次感染。