在日志中隐藏自己后门

xsser | 2012-10-20 22:42

以前发现的一个技巧性的东西,由于一般的webserver都会记录日志,而且在目前的后期后门以及漏洞追踪中主要的证据都是日志,如果有可能让日志变得不可信,我们就有可能成功了

访问shell.php,会得到日志

<?php

phpinfo();

?>

127.0.0.1 - - [20/Oct/2012:22:21:54 +0800] "GET /shell.php HTTP/1.1" 200 66918

稍微改变下后门,添加header一句代码之后就会是

<?php

header('HTTP/1.1 404');

ob_start();

phpinfo();

ob_end_clean();

?>

127.0.0.1 - - [20/Oct/2012:22:21:54 +0800] "GET /shell.php HTTP/1.1" 404 -

标准的一次扫描结果,它无法说明任何问题了

:)