网站后门及木马

去年搭建的一个网站，近期频繁被攻击，让我有幸接触到网站后门及木马，在此分享攻击方式以及如何查找后门

攻击一（重定向）

这个是比较简单也是比较好查找的

原理是使用location跳转到目标地址，通常会编译使得源码无法正常阅读出来

例如

变量str 就是跳转目标地址通过base64或编译出来的，运行时通过反编译或base64_decode得出目标地址，然后使用eval函数便跳到目标地址，eval也是最常见的

tips：攻击源码被删了，模拟攻击原理

这种查找也是比较简单，打开调试台选择network项，打开录制和缓存日志，访问被攻击网页之后就能看到网络状态并标记重定向/Redirect（左图），点击重定向的弹出详情（右图），选择initiator就能看到调用栈，这里是模拟的比较容易看得出，那种编译过了的需要到指定文件打断点才能看出之所以然

如上图：window[‘\x6c\x6f\x63\x61\x74\x69\x6f\x6e’][‘\x68\x72\x65\x66’] 就是 window[‘location’][‘href’]，类似这种被植入且编译过的很难看得出

通常被植入在js里面或者html的script处

有些比较厉害点的手段在 script 中eval ，这种在调试台的 network 项就很难看得出来了，针对这种攻击手段得使用performance性能分析

performance面板详情

如上图，使用 performance 生成测试报告（左图），可以看到某一时刻跳转到xx.js，选中此处便可以看到网站被浏览器解释流程，经过一番寻找定位至parseHTML （range xxxxx.com/:13），意思是在首页的第13行左右（右图）