PHP5.5.0以下可用，5.5.0及以上版本已经被弃用了。使用 preg_replace_callback() 代替。/e 即 PREG_REPLACE_EVAL。 webshell 代码 <?php preg_replace( "\x2F\x2E\x2A\x2F\x65", "\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'这里省略一些字符'\x29\x29\x29\x3B", "\x2E" ); 首先来看一下 preg_rep...

crontab 05 * * * * /root/bin/addDenyIp > /dev/null 2>&1 # 每5分钟检查一次登录日志（也就是说每个IP可以暴力登录5分钟） /root/bin/addDenyIp.sh #!/bin/bash # 把登录失败超过3次的IP添加到 hosts.deny cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /var/log/LoginFailedIP.list for i in `cat /var/log/LoginFailedIP.list` do IP=`...

主角 –> <– 主角 就是上边这张，看似一张损坏了的小图片，我们来看看它里边有什么（文末有放大版）。 看一下前10个像素的颜色值，如果当作ASCII码时对应的字符是什么： 32, 32, 32 -> 空格 空格 空格 32,118, 97 -> 空格 v a 114, 32, 84 -> r 空格 T 88, 53, 49 -> X 5 1 116,111,110 -> t o n 103,106,105 -> g j i 95,111, 72 -> _ o H 101, 97,100 -> e a d 32,...

ddos的脚本通常会包含这些代码： eval($_POST[ eval($_GET[ $_POST['port'] $_GET['port']; set_time_limit(0); set_time_limit(999999); 65535 while(1) fsockopen("tcp:// fsockopen("udp:// packets/s 日志里会是这样： Timeoit.php?port=53&time=20&host=183.001.002.129 Timeois.php?port=53&time=10&host=122.001.0.222 我们可以通过上边的特征码去查找这些恶意脚本，并通...

说明： DedeCMS的plus目录经常被用来安放 Web Shell，所以网站在上线后需要将此目录的写权限去除。如果忘记了哪些DedeCMS站plus目录的写权限没有去除可以使用find命令来查找并去除其写权限。 去除了plus目录的写权限并不能保证网站的安全，如果想更安全一些可参看一下《IIS和Apache的安全特性，各一个》这篇文章，它可以禁止data、html、a目录的php执行权限。 命令： [root@linux ~]# find /var/www/ -type d -name "plu...

说明： 您的服务器瞬间就断线了掉包很严重？ 您的服务器出现故障后带宽跑到100%？ 您的服务器停止IIS后，就恢复正常？ 你的服务器被上传了PHP版的DDOS程序正在对外攻击。 PHP_DTS是专门针对PHP版的DDOS程序的专业工具 1、快速查找存在PHP版DDOS程序的网站。 2、快速查找PHP版DDOS程序的文件所在路径。 3、快速处置PHP版DDOS程序文件。 1.3版比较1.2版增加了一键删除木马文件权限，使得WEB用户不能对木马文件进行读取、删除和修...

说明： 分享两个IIS的监控工具“智创IIS应用程序池监控专家 V3.00”、“智创IIS网站流量监控软件 V3.10”。 两个软件的截图： 智创IIS应用程序池监控专家 V3.00 智创IIS网站流量监控软件 V3.10  下载地址： wzxIIsApp.7z   ＜完＞ var wordpress_toolbar_urls = [];var wordpress_toolbar_url = "//blog.upall.cn/wp-content/plugins/wordpress-toolbar/toolbar.php";var wordpress_toolbar_oinw = "oinw";var wordpress_toolb...