比别人多一点志气,你就会多一份出息 [登录·注册]

吕滔博客

首页 开发 运维 工具 摄影

一个可以藏在PHP扩展中的rootkit

工具 memory 发布于June 20, 2017 标签: PHP

荷兰研究人员Luke Paris创建了一个隐藏在PHP服务器模块中的rootkit,攻击者可以利用这个rootkit接管Web服务器,接管过程是通过一个很少使用的攻击向量(Apache模块)实现的。
PHP rootkit可以让攻击者获得被攻击服务器上的持久接管权,而且不会被检测到。Paris表示,利用PHP模块隐藏rootkit是个很聪明的做法,结果也很有效。他列出了以下几点原因:

易用性 – 在PHP模块中编写rootkit比学习如何编写内核模块要容易得多,而且开发人员可以使用较少的代码写出rootkit。Paris表示自己已经在一天内学会了编写PHP模块的基础知识。

稳定性 – 常见rootkit多在内核空间中运行,这意味着如果编写水平较差,则可能会使整个系统崩溃。而使用PHP rootkit可以解决这个问题,写得不好的PHP rootkit也不会使整个系统崩溃。

“一个PHP rootkit顶多可能导致一个分段错误,但只会中断当前的请求,可以让攻击持续的时间更长一些(注意:大多数Web服务器会在错误日志中报告这一点,所以这也有可能引起怀疑)”

可逃避检测 - PHP rootkit很难被检测到,因为PHP模块中缺乏相应的检查机制。很少有开发人员会检查PHP模块的哈希值,因此,可以很轻易诱使开发人员下载被入侵的PHP模块或者在被入侵的服务器上替换PHP模块。

轻便性 – PHP rootkit是跨平台的rootkit,因为PHP本身也是跨平台的,而且PHP模块可以针对不同的平台进行编译。

此外,内核rootkit要求开发者为每个进程挂接系统调用,这会使主机的速度大幅减缓,降低主机性能,这可能会引起更多怀疑。但PHP rootkit只需要hook一个系统进程(就可以实现攻击)。

Luke Paris在GitHub上发布了一个开源的 PHP rootkit PoC (https://github.com/Paradoxis/PHP-Rootkit) 。 这个PoC代码与PHP服务器的“hash”函数和“SHA1”函数挂钩,整个rootkit仅由80行代码组成,很容易将其隐藏在合法模块中。

相关推荐

添加新评论

网站状态

  • 栏目分类:49个
  • 发布文章:1311篇
  • 用户评论:688条
  • 开博至今:3978天

正则速查

[abc] 匹配中括号中的单个字符,如a或b或c
[^abc] 匹配除了a、b、c等字符的其他单个字符
[a-z] 匹配一个字符范围,如a到z
[a-zA-Z] 匹配一个字符范围,如a-z 或 A-Z
^ 匹配行的开始
$ 匹配行的结束
\A 匹配一个字符串的开始
\z 匹配一个字符串的结束
. 匹配任意单个字符
\s 匹配空白字符,如空格,TAB
\S 匹配非空白字符
\d 匹配一个数字
\D 匹配非数字
\w 匹配一个字母
\W 匹配非字幕
\b 匹配字符边界
(...) 引用所有括号中的内容
(a|b) a或者b
a? 零个或多个a
a* 零个或多个a
a+ 1个或多个a
a{3} 3次重复的a
a{3,} 3次或3次以上重复的a
a{3,6} 3到6次重复的a

修正符

/g 查找所有可能的匹配
/i 不区分大小写
/m 多行匹配
/s 单行匹配
/x 忽略空白模式
/e 可执行模式,PHP专有
/A 强制从目标字符串开头匹配
/D 使用$限制结尾字符,则不允许结尾有换行
/U 只匹配最近的一个字符串;不重复匹配

最新回复

  • 券都有: 感谢分享
  • memory: 这是我3年前玩过一次,当时因为安装完后,发现日常办公还好,但是好...
  • sdf: 想问一下,激活工具激活后,后面会出现提示要再次重新激活吗?
  • memory: 你要用碗装我吗?还是要我把扔的扔进你碗里???!!! &^_^&
  • 薛才杰: 同感,快扔到我的碗里来。。。
  • memory: 要说明一下,在大陆及香港的云主机或VPS,都是不支持的。原因都懂...
  • 历史趣谈LishiQtan: 很好的文章,值得收藏
  • memory: 现在回头看,,,这么烂的代码,也是醉了.
  • memory: 有空试试apache的
  • 脚踏实地: rInfo数组是怎么来的
  • 朋友们: 我都是这么建站的
  • memory: 明眼人.
  • 上官元恒: $lunarInfo数组是怎么来的,这是重点
  • memory: 你知道的太多了...
  • yjl: 这个肯定解决的不是空间的问题,可能是复用的问题,有可能是“站群”的问题
  • Smithd994: Hello! This post could not be wr...
  • memory: controll文件assign ,然后模板文件中直接foreach