分享一篇免殺過狗的PHP後門,雖然文章是15年的,有些後門可能已經被修補了,但還是可以參考看看大神們是如何不用動態函數、eval、敏感函數來達到一句話後門吧
看完後,也想想有沒有更好的繞過方式呢?
原文出處:https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html
-------------------
如果你認同支持我們每日分享的文章的話,請幫我們按個讚並且點擊追蹤「搶先看」,這樣就可以快速獲得最新消息囉!
您的分享及點讚,是我們最大的動力來源。
https://www.facebook.com/LonelyPoPo/
波波觀點:PHP 後門研究要回到偵測與清除
PHP 後門與 WebShell 技術常被用來討論免殺、混淆與繞過,但對網站營運者來說,更重要的是如何偵測、隔離、清除與修補根因。這篇文章應該從攻防兩面整理:攻擊者可能如何隱藏後門,防禦者又能從哪些檔案、程序與日誌找到線索。
偵測檢查清單
- 檢查可寫目錄、近期修改檔案、異常 PHP 檔名與圖片目錄中的可執行檔。
- 搜尋 eval、assert、base64_decode、gzinflate、preg_replace /e 等危險特徵。
- 比對 access log、error log、上傳紀錄、未知 POST 參數與外連行為。
- 確認 WordPress 外掛、主題、上傳目錄與檔案權限是否被濫用。
修補與復原建議
清除 WebShell 時,不應只刪掉單一檔案。需要找出初始入侵點、更新核心與外掛、輪替管理員密碼與資料庫密碼,並檢查排程、後台帳號與伺服器權限。若站台有備份,也要確認備份時間點沒有帶著後門。
這篇文章後續可加入 WordPress 應急流程與 Linux 排查指令,會更貼近 LonelySec 目前站台讀者,也能支援 Web 安全與事件應變專題。









