WordPress挂马检测插件:Hacklog Integrity 0.1.0版放出

此插件主要用来检测网站有没有被挂马。

一般的挂马方法有这么几种:
js挂马,如iframe,html标签歪用(如< img src=”http://domain.com/getcookie.js” />)等
PHP挂马,如用php的eval函数。要执行的邪恶代码可直接写出来,也可保存在数据库里面。此外,为了逃避检测,对于敏感函数可以采用一些小技巧来实现,如:

1
2
3
4
5
$the_evil_code = '邪恶代码放此';
$middle = 'v';
$last_part = 'al';
$the_func= 'e'.$middle.$last_part;
call_user_func($the_func,$the_evil_code);

由此可见,依靠关键字来检测文件的内容来判断是否被挂马是不太现实的。因此我这里的检测主要是采取这样一种思路:

首先,确保当前的代码是安全的纯净的
然后,生成当前所有文件(php,js)的sha1校验码,并保存到本地电脑。(为什么不保存在服务器上或者数据库中?因为别人既然把你的站黑了,自然有办法修改你的文件或数据库,放在数据库里面是浮云。。。)
检测:过一段时间后,上传保存本地的校验数据,然后生成当前文件校验数据,二者对比,如有更改则显示出来。


不管挂马者采用何种挂马办法,他总要修改你服务器上的文件(增加或者修改)


因此,用上面这种办法还是一种比较可靠的方案。

目前此插件只开发出版本0.1.0 ,自己使用中。有时间再完善。

hacklog-integrity-v0.1.0.zip (2.8 KB)

更多
20 Responses Post a comment
  1. Leniy

    我又来了,插件没更新啊?

  2. tiandi

    MS如何常修改文件,这个就有点难了。

  3. xyixyixyi

    不错很强大,这个修改任何一文件就知道修改哪里了。

  4. Leniy

    目测很好很强啊。
    我写的插件弱爆了

  5. haha

    这个看起来不错:) 很期待啊

  6. xuan律

    对于那种钓鱼攻击有木有办法?

  7. ylsnuha

    这个好~~ 我一般被挂马啊什么的就看ftp里面的文件最后修改日期。。。

  8. wmtimes

    这种功能的插件很有必要啊。

  9. shamas

    我以前都是在源代码中直接看的。目前为止被挂过一次,后来给空间商说了。

  10. 依云

    又想起前段时间 kernel.org 被入侵,Linux 内核代码因为使用 git 管理可以很快确定没有被污染。

  11. 荒野无灯

    @phoetry
    这个插件不负责别的,只检测文件完整性,只要有修改,都会被检测出来的,其它的,意义不太大。因为挂马的方法实际上是变幻无穷。

  12. Demon

    大湿太强了。新插件很期待的说。

  13. phoetry

    先沙发~
    虽说咱是良民, 不过此类插件的确有备无患, 坐等发布...
    然后这样的话是不是自己修改了东西也会被检测到.

Leave a Reply

Note: You may use basic HTML in your comments. Your email address will not be published.

Subscribe to this comment feed via RSS