Update readme.md

This commit is contained in:
tennc 2021-05-30 18:49:29 +08:00 committed by GitHub
parent ff8712de76
commit f7555d51f5
No known key found for this signature in database
GPG key ID: 4AEE18F83AFDEB23

View file

@ -1,14 +1,14 @@
# 内存驻留webshell # 内存驻留webshell
## 一、攻击原理 ## 一、攻击原理
php webshell文件执行后删除自身。此webshell在执行后会自身删除驻留内存之中无文件残留。其原理主要利用以下方法 php webshell文件执行后删除自身。此webshell在执行后会自身删除驻留内存之中无文件残留。其原理主要利用以下方法
ignore_user_abort(true); // 后台运行 `ignore_user_abort(true); // 后台运行`
这个函数的作用是指示服务器端在远程客户端关闭连接后是否继续执行下面的脚本。如设置为True则表示如果用户停止脚本运行仍然不影响脚本的运行 这个函数的作用是指示服务器端在远程客户端关闭连接后是否继续执行下面的脚本。如设置为True则表示如果用户停止脚本运行仍然不影响脚本的运行
set_time_limit(0); // 取消脚本运行时间的超时上限 `set_time_limit(0); // 取消脚本运行时间的超时上限`
括号里边的数字是执行时间,如果为零说明永久执行直到程序结束,如果为大于零的数字,则不管程序是否执行完成,到了设定的秒数,程序结束。 括号里边的数字是执行时间,如果为零说明永久执行直到程序结束,如果为大于零的数字,则不管程序是否执行完成,到了设定的秒数,程序结束。
脚本也有可能被内置的脚本计时器中断。默认的超时限制为30秒。 脚本也有可能被内置的脚本计时器中断。默认的超时限制为30秒。
这个值可以通过设置 php.ini 的 max_execution_time 或 Apache .conf 设置中对应的“php_value max_execution_time”参数或者 set_time_limit() 函数来更改。 这个值可以通过设置 `php.ini 的 max_execution_time``Apache .conf` 设置中对应的`“php_value max_execution_time”`参数或者 `set_time_limit()` 函数来更改。
php删除自身时借助的函数为 php删除自身时借助的函数为
unlink($_SERVER['SCRIPT_FILENAME']); `unlink($_SERVER['SCRIPT_FILENAME']);`
unlink函数运行条件较为苛刻该脚本要具备可执行权限、可修改文件权限时方能执行。 unlink函数运行条件较为苛刻该脚本要具备可执行权限、可修改文件权限时方能执行。
简单的webshell脚本 简单的webshell脚本
``` php ``` php
@ -27,7 +27,7 @@ unlink函数运行条件较为苛刻该脚本要具备可执行权限、可
?> ?>
``` ```
test.txt中的代码如下 test.txt中的代码如下
file_put_contents('printTime.txt','jweny '.time()); ` file_put_contents('printTime.txt','jweny '.time());`
webshell执行后删除自身并在该目录生成 printTime.txt每五秒一次写入一次时间戳。 webshell执行后删除自身并在该目录生成 printTime.txt每五秒一次写入一次时间戳。
## 二、检测方案 ## 二、检测方案
通过获取php-fpm status 通过获取php-fpm status