在日志中隐藏自己后门
以前发现的一个技巧性的东西,由于一般的webserver都会记录日志,而且在目前的后期后门以及漏洞追踪中主要的证据都是日志,如果有可能让日志变得不可信,我们就有可能成功了
访问shell.php,会得到日志
<?php
phpinfo();
?>
127.0.0.1 - - [20/Oct/2012:22:21:54 +0800] "GET /shell.php HTTP/1.1" 200 66918
稍微改变下后门,添加header一句代码之后就会是
<?php
header('HTTP/1.1 404');
ob_start();
phpinfo();
ob_end_clean();
?>
127.0.0.1 - - [20/Oct/2012:22:21:54 +0800] "GET /shell.php HTTP/1.1" 404 -
标准的一次扫描结果,它无法说明任何问题了
:)