PHP5.5.0以下可用,5.5.0及以上版本已经被弃用了。使用 preg_replace_callback() 代替。/e 即 PREG_REPLACE_EVAL。
webshell 代码
<?php
preg_replace(
"\x2F\x2E\x2A\x2F\x65",
"\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'这里省略一些字符'\x29\x29\x29\x3B",
"\x2E"
);
首先来看一下 preg_rep...
分类为 攻防 的文章:
crontab
05 * * * * /root/bin/addDenyIp > /dev/null 2>&1
# 每5分钟检查一次登录日志(也就是说每个IP可以暴力登录5分钟)
/root/bin/addDenyIp.sh
#!/bin/bash
# 把登录失败超过3次的IP添加到 hosts.deny
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /var/log/LoginFailedIP.list
for i in `cat /var/log/LoginFailedIP.list`
do
IP=`...
主角 –> <– 主角
就是上边这张,看似一张损坏了的小图片,我们来看看它里边有什么(文末有放大版)。
看一下前10个像素的颜色值,如果当作ASCII码时对应的字符是什么:
32, 32, 32 -> 空格 空格 空格
32,118, 97 -> 空格 v a
114, 32, 84 -> r 空格 T
88, 53, 49 -> X 5 1
116,111,110 -> t o n
103,106,105 -> g j i
95,111, 72 -> _ o H
101, 97,100 -> e a d
32,...
有时候网站末尾会“莫名”出现一些本来没有的代码,这些可能是宽带运营商添加的,也有可能是网站中毒被黑客攻击后篡改了。
这些代码通常都会出现在文末,而CSS的~选择符可以选择元素后边的所有兄弟(同一级、平级)元素。
前提:
假定页面最后一个标签是footer(footer是HTML5标签,里边可以有其它元素)
CSS式的解决办法:
/* 不显示footer后边的元素 */
body > iframe,
footer ~ * {
display:none !important;
}
jQ...
ddos的脚本通常会包含这些代码:
eval($_POST[
eval($_GET[
$_POST['port']
$_GET['port'];
set_time_limit(0);
set_time_limit(999999);
65535
while(1)
fsockopen("tcp://
fsockopen("udp://
packets/s
日志里会是这样:
Timeoit.php?port=53&time=20&host=183.001.002.129
Timeois.php?port=53&time=10&host=122.001.0.222
我们可以通过上边的特征码去查找这些恶意脚本,并通...
如下下载别人的DedeCMS网站模板?
查看网站首页源代码可以找到模板路径:
<link href="/templets/default/style/index.css" type="text/css"/>
之后通过工具下载对应的 list_article.htm、article_image.htm 等文件就可以了:
如何防止别人下载自己的模板?
在 templets 目录中放一个“.htaccess”文件,内容如下:
RewriteEngine on
RewriteRule .(htm|html|inc) / [R,NC,L]
将这个文件放入...
说明:
DedeCMS的plus目录经常被用来安放 Web Shell,所以网站在上线后需要将此目录的写权限去除。如果忘记了哪些DedeCMS站plus目录的写权限没有去除可以使用find命令来查找并去除其写权限。
去除了plus目录的写权限并不能保证网站的安全,如果想更安全一些可参看一下《IIS和Apache的安全特性,各一个》这篇文章,它可以禁止data、html、a目录的php执行权限。
命令:
[root@linux ~]# find /var/www/ -type d -name "plu...
说明:
您的服务器瞬间就断线了掉包很严重?
您的服务器出现故障后带宽跑到100%?
您的服务器停止IIS后,就恢复正常?
你的服务器被上传了PHP版的DDOS程序正在对外攻击。
PHP_DTS是专门针对PHP版的DDOS程序的专业工具
1、快速查找存在PHP版DDOS程序的网站。
2、快速查找PHP版DDOS程序的文件所在路径。
3、快速处置PHP版DDOS程序文件。
1.3版比较1.2版增加了一键删除木马文件权限,使得WEB用户不能对木马文件进行读取、删除和修...
说明:
分享两个IIS的监控工具“智创IIS应用程序池监控专家 V3.00”、“智创IIS网站流量监控软件 V3.10”。
两个软件的截图:
智创IIS应用程序池监控专家 V3.00
智创IIS网站流量监控软件 V3.10
下载地址:
wzxIIsApp.7z
<完>
var wordpress_toolbar_urls = [];var wordpress_toolbar_url = "//blog.upall.cn/wp-content/plugins/wordpress-toolbar/toolbar.php";var wordpress_toolbar_oinw = "oinw";var wordpress_toolb...
IIS 6.0
目录名里包含有“.asp”文件会导致其目录下任意文件当做 asp 文件来运行。如果把 webshell 保存为 webshell.gif,当访问http://xxxx.xxx/webshell.gif 时 webshell.gif 被当作asp文件来解析。
apache
apache 解析文件名时,后缀是从后面开始检查,按最后一个合法后缀执行。如:install.php.bak 因为 bak 不被 apache 解析,所以 apache 把这个文件当php文件解析了. 很多web程序安装后,默认会把install.php改名为install...
