网站后门及木马

去年搭建的一个网站,近期频繁被攻击,让我有幸接触到网站后门及木马,在此分享攻击方式以及如何查找后门

攻击一(重定向

这个是比较简单也是比较好查找的

原理是使用location跳转到目标地址,通常会编译使得源码无法正常阅读出来

例如

网站后门及木马

变量str 就是跳转目标地址通过base64或编译出来的,运行时通过反编译或base64_decode得出目标地址,然后使用eval函数便跳到目标地址,eval也是最常见的

tips:攻击源码被删了,模拟攻击原理

这种查找也是比较简单,打开调试台选择network项,打开录制和缓存日志,访问被攻击网页之后就能看到网络状态并标记重定向/Redirect(左图),点击重定向的弹出详情(右图),选择initiator就能看到调用栈,这里是模拟的比较容易看得出,那种编译过了的需要到指定文件打断点才能看出之所以然

网站后门及木马
网站后门及木马

如上图:window[‘\x6c\x6f\x63\x61\x74\x69\x6f\x6e’][‘\x68\x72\x65\x66’] 就是 window[‘location’][‘href’],类似这种被植入且编译过的很难看得出

通常被植入在js里面或者html的script处

有些比较厉害点的手段在 script 中eval ,这种在调试台的 network 项就很难看得出来了,针对这种攻击手段得使用performance性能分析

performance面板详情

如上图,使用 performance 生成测试报告(左图),可以看到某一时刻跳转到xx.js,选中此处便可以看到网站被浏览器解释流程,经过一番寻找定位至parseHTML (range xxxxx.com/:13),意思是在首页的第13行左右(右图)

原创文章,作者:ourygey,如若转载,请注明出处:https://ourygey.com/2022/09/28/%e7%bd%91%e7%ab%99%e5%90%8e%e9%97%a8%e5%8f%8a%e6%9c%a8%e9%a9%ac/

发表评论

您的电子邮箱地址不会被公开。