[讨论]欢迎高手来PK：php程序的后门与反后门问题...

reffo

1.正如你所说，用$_GET或者$_POST方法留下的后门，这种情况下，处置方式我觉得$_GET['id']，如果id这种约定的参数还好说，要是他$_GET['dasjdhasijdhasioda']类似的乱码参数删除数据库或者重定向网站等，我觉得比较难办。

2.如果它是采用的后门类似木马，或者干脆是第三方程序，这个我觉得就没有办法防止了。例如，他include一个木马，或者调用别人木马的接口。。。：（

3.如果涉及到网络通信，比如Sp来说，向移动的MISC网关发送xml数据包，再同时signal要kill调这个程序，感觉这种情况zend后也很难，用http sniffer?
综上，，，zend sourcecode 是很恶劣的行为。

其实可以看作一个博弈的游戏，
如果要达到放木马的人被你破解了，那么它失败了。如果破解的人也就是你没有控制到，那么你就失败了。
so,具体情况具体分析，感觉这个命题没办法给出final resolution.

scriptkidz

我觉得是防不住的，safe＿mode也不是万能的...
开源吧...脚本类的程序不开源的都是漏洞成把抓的...

ashchen

没法防

hightman

如果发起网络连接的话倒是可以监视出来并防护. (无论是 include,fopen..直接url_open或者socket_open,fsockopen..)

但如果内部隐藏了一些莫明其妙的操作根本没法防.

scriptkidz

原帖由 hightman 于 2006-5-13 22:24 发表
如果发起网络连接的话倒是可以监视出来并防护. (无论是 include,fopen..直接url_open或者socket_open,fsockopen..)

但如果内部隐藏了一些莫明其妙的操作根本没法防.

请问下怎么监视...
PSHP的后门你觉得会有什么莫名其妙的操作吗??

[ 本帖最后由 scriptkidz 于 2006-5-13 23:54 编辑 ]

reffo

发起网络连接可以看到链接其他端口。netstat -a

scriptkidz

原帖由 reffo 于 2006-5-17 16:19 发表
发起网络连接可以看到链接其他端口。netstat -a

朋友,开的是80唉~~封80好不好?

zyme

大家PK完了吗？要不要我做总结？

mikespook

总结吧，好像PK跑题了～～

crazysoul

http://bbs.chinaunix.net/viewthread.php?tid=758075
我传的这个文件其实就是一个很出名的PHP后门,没有ZEND过,如果连这个都解不开的话,那什么防止之类的手段都免谈了