先说说发现这个大马的过程吧!首先呢是在某博客中发现的,目测最少有三只,其中两只都是采用了Base64+Gzinflate加密,暂时未知真面目,而且还把三只马的文件头伪装成PNG图片,这位英俊的黑客可谓用心良苦咯~。
头号大马:
这个必须上图,因为在中国这个领土上基本上没人会用这个工具,工具默认语言为Indonesian(印度尼西亚语),提供一般工具都特有的数据库接口,在线的文件管理,管道命令的执行,还支持伪装E-Mail发送,Wget下载,还有一些我也没用过的东西= =..凭着多年玩马的直觉,目测这货不是吃素的货~
原汁原味放送:
二、三号木马:
采用GIF89a伪装且Gzinflate+Base64加密。其中有一只由于代码过长,只是截取一部分来展示。
小建议:
最后建议大家最好不要去安装破解或窃取的付费主题,可能主题已被人恶意修改,懂代码的建议安装主题前先扫一下主题内的文件,搜索关键词"$_POST"、"eval"等一句话木马常见的特征关键词。
声明: 本文采用 CC BY-NC-SA 3.0 协议进行授权
转载请注明来源:花七七's 部落格