以前发现的一个技巧性的东西,由于一般的webserver都会记录日志,而且在目前的后期后门以及漏洞追踪中主要的证据都是日志,如果有可能让日志变得不可信,我们就有可能成功了,
在日志中隐藏自己后门
。访问shell.php,会得到日志:
<?phpphpinfo(); ?>
127.0.0.1 - - [20/Oct/2012:22:21:54 +0800] "GET /shell.php HTTP/1.1" 200 66918
稍微改变下后门,添加header一句代码之后就会是
<?phpheader('HTTP/1.1 404'); ob_start(); phpinfo(); ob_end_clean(); ?>127.0.0.1 - - [20/Oct/2012:22:21:54 +0800] "GET /shell.php HTTP/1.1" 404 -
标准的一次扫描结果,它无法说明任何问题了
:)