火绒全盘扫描后c:\windows\system32\logfiles\httperr\httperr603.log中提示有后门病毒 heur:backdoor/php.webshell.a

最新推荐文章于 2026-05-02 11:35:18 发布
原创 最新推荐文章于 2026-05-02 11:35:18 发布 · 2.5k 阅读 · 31 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#windows #病毒 #木马 #php #安全
#火绒 #防火墙
该文章已生成可运行项目,

服务器上安装了火绒防火墙,最近两个月每次全盘扫描都会发现类似如下的提示:
c:\windows\system32\logfiles\httperr\httperr603.log中提示有后门病毒 heur:backdoor/php.webshell.a
那实际看了那么多行代码,都是一些出错页面,包括恶意代码攻击后,都是记录着403或404错误提示。
那么到底是怎么回事呢?

我们来分解一下这个问题,并解释相关概念及潜在的威胁。

*.log是IIS(Internet Information Services) 服务器的日志文件。IIS 是 Windows 的 Web 服务器,这些日志文件通常用于记录与 HTTP 请求和错误相关的详细信息,如请求超时、无效请求等。在这种情况下,火绒防火墙提示的 “后门病毒” 警告涉及到一种WebShell 后门程序,具体检测类型为 heur:backdoor/php.webshell.a

在这里插入图片描述

1. 什么是 WebShell?

WebShell 是一种被攻击者用来在服务器上获得远程控制的恶意脚本。通常,它们被上传到受攻击的服务器上,并允许攻击者通过 Web 访问来执行任意命令。

WebShell 的特点:

  • 通常是恶意 PHP、ASP、JSP 或其他脚本文件。
  • 允许攻击者执行系统命令、查看文件、修改文件权限,甚至进一步感染服务器。
  • 经常隐藏在合法的网站中,通过网站漏洞上传到服务器。

2. 火绒提示的 heur:backdoor/php.webshell.a 是什么?

heur 表示火绒使用了一种启发式扫描机制(Heuristic Analysis),这种机制通过分析文件的行为特征,而不是直接匹配已知的病毒签名,来检测潜在的威胁。因此,虽然你看到的是 .log 文件,但很可能里面的内容与某些已知的 WebShell 后门特征相匹配,触发了启发式警报。

backdoor/php.webshell.a 表示火绒认为这可能是一种通过 PHP 脚本实现的后门程序,通常用于服务器上执行远程操作。即使这个文件是 .log 格式,火绒可能检测到其中有可疑的 PHP 代码片段。

3. 为什么在日志文件中提示后门病毒?

通常,HTTPERR 日志文件会记录 HTTP 请求中的错误信息。如果你的服务器曾经受到攻击或有人试图通过恶意请求上传 WebShell,那么这些恶意的请求可能会被记录在这些日志文件中。

  • 日志记录恶意请求:攻击者可能尝试通过发送包含恶意 PHP 代码的 HTTP 请求(例如,试图通过文件上传漏洞上传 WebShell),这些请求可能被 IIS 服务器拒绝,并因此记录到 HTTPERR 日志中。
  • 火绒扫描该日志文件时,发现日志中记录的恶意请求包含类似 WebShell 的特征,所以触发了警报。

4. 举例:恶意请求如何被记录到日志中?

假设攻击者试图通过 HTTP 请求注入恶意的 PHP 代码,向服务器上传 WebShell 或执行恶意命令。以下是一个简单的例子:

攻击请求的例子:

GET /vulnerable-upload.php?file=<?php system('whoami'); ?> HTTP/1.1
Host: example.com

这段请求试图在 Web 服务器上执行 system(‘whoami’) 命令(用于获取当前用户)。虽然服务器可能拒绝了这个请求,但该请求的内容可能被记录到 httperr603.log 中。类似的攻击可能试图利用服务器的漏洞上传一个 WebShell 文件。

日志文件中的记录:
日志文件中可能会包含类似如下的记录:

2024-10-18 12:34:56 192.168.1.100 GET /vulnerable-upload.php file=<?php system('whoami'); ?> 400 - - - 1234 0 0

在这个例子中,httperr603.log 记录了攻击者试图通过参数 file 发送恶意 PHP 代码的请求,虽然请求被拒绝(400 错误),但恶意的代码片段仍然出现在日志文件中,触发了火绒的启发式检测。

5. 如何处理?

既然 httperr603.log 只是一个日志文件,通常它本身不执行任何代码,但如果你发现这样的日志,说明你的服务器可能曾遭到恶意请求或攻击。你可以采取以下措施:

(1) 检查日志内容:

打开 httperr603.log 文件,搜索类似 <?php、eval、system 等敏感关键词,查看是否有攻击者发送的恶意请求。
检查是否存在类似 WebShell 的可疑代码片段,即使是记录在日志中,也要引起重视。

(2) 检查服务器是否有漏洞:

确保服务器的安全性,例如检查是否存在文件上传漏洞、SQL 注入漏洞等。
更新服务器的 Web 服务器(如 IIS)的安全配置,并确保所有补丁和更新都已应用。

(3) 检查实际的 WebShell 文件:

仅仅检测到日志中的恶意请求不一定意味着服务器已经被成功攻破,但你应该检查服务器的文件系统,确认没有攻击者上传的 WebShell 文件。
WebShell 文件通常以 .php、.asp、.jsp 为后缀,检查这些文件是否存在,尤其是在可写的目录(如文件上传目录)。

(4) 清理日志:

如果日志文件中存在恶意请求的记录,你可以在确保系统没有被感染的情况下清理这些日志。
日志本身不会执行恶意代码,但定期清理日志并监控新的恶意请求是一个良好的安全习惯。

总结:

  • 火绒的提示说明 httperr603.log 文件中记录了可疑的 WebShell 请求,但它只是日志中的记录,通常并不会直接导致服务器被感染。
  • 这种警报表明服务器可能曾经收到过恶意的 HTTP 请求,可能攻击者试图上传后门或执行远程命令。
  • 你需要查看日志中的内容,检查是否有恶意代码片段,确保服务器没有被攻破或存在漏洞。
  • 你现在可以检查 httperr603.log 文件中的详细记录,看看有没有类似的可疑请求。
本文章已经生成可运行项目
PHP后门PHP后门的集合。 仅用于教育或测试目的
02-05
PHP后门 PHP后门的集合。 仅用于教育和/或测试目的。 笔记 不一定包含您可以在反找到的后门的反混淆的版本。 要对这些技巧和其他技巧进行模糊处理,请查看“ 部分。 始终在安全的环境中调查恶意软件。 这意味着:与您的网络分开并在虚拟机中! 某些后门可能是后门的(是的,确实) 。 永远不要将其用于任何恶意目的。 后门遵循以下格式: Backdoorname_SHA1.php后门的名称是已知的。 PHP工具 这包括指向以下工具的链接: 反混淆器(在线和离线) 美化工具(在线和离线) 测试人员(运行代码-在安全的环境中执行此操作!) 直接从访问这些工具的链接。 其他回购 这是一个
WebShell:Webshel​​l &&后门集合
02-05
WebShell的 这是一个Webshel​​l开源项目 类别 ar Ascx 阿什克斯 阿斯玛克斯 天冬氨酸 Aspx C Cfm Cgi Java脚本 Jsp px 执照 MySQL的 Nginx的 其他 p l 自述文件 SSH协议 肥皂 乌德普 微信 狗狗 icmp 罐 节点js 开火 操作系统 pwnginx Python reGeorg-master Ruby 小服务程序 SH 战争 XML文件 xssshell 作者:小乐天
病毒木马、蠕虫、rootkit和后门
qq_43561370的博客
01-02 1万+
病毒木马、蠕虫、rootkit和后门 病毒(computer virus) wiki ​ 计算机病毒是一种计算机程序,在执行时,通过修改其他计算机程序和插入自己的代码来复制自己。当这种复制成功后,受影响的区域就被称为被计算机病毒“感染”了。 描述 ​ 病毒基本上可以被当做一个可以从一台计算机传播到另一台计算机的程序。蠕虫也是如此,但不同的是,==病毒通常必须将自己注入到可执行文件中才能运行。==当受感染的可执行文件运行时,它就可以传播到其他可执行文件。为了让病毒传播,它通常需要某种用户干预。 ​ 比
终极指南:PHP 8.0属性后门——webshell项目中8大新特性滥用实例解析
最新发布
gitblog_00012的博客
05-02 550
在网络安全领域,webshell作为一种常见的攻击工具,其技术手段随着PHP版本迭代不断升级。本文将深入剖析PHP 8.0版本引入的新特性如何被恶意利用,通过webshell项目中的实际案例,揭示8种属性后门的实现原理与防御策略。 ## 1. 属性提升(Property Promotion):精简代码背后的安全陷阱 PHP 8.0的属性提升特性允许在类构造函数中直接声明属性,大幅简化代码结构。
WebShell
热门推荐
高飞的博客
03-06 15万+
webshell
网络攻防|Web后门知识详解
weixin_42282189的博客
10-26 7434
作者: h0we777 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 简介 web后门泛指webshell,其实就是一段网页代码,包括ASP. ASP.NET. PHP. JSP. 代码等。由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行一些危险的操作获得某些敏感的技术信息,或者通过渗透操作提权,从而获得服务器的控制权。这也是攻击者控制服务器的一个方法,比一般的入侵更具隐蔽性。 0x01 Webshell是什么 1.1 Shell(计算机壳.
backdoorphp.webshell.ad后门病毒怎么办?
小戴站长_一个关于互联网知识的博客
03-29 5180
近日在备份数据的时候,杀毒软件火绒突然爆此文件有病毒backdoorphp.webshell.ad后门病毒病毒信息为当时在想,又没有做什么怎么会有病毒?后来发现,原来是数据库被写入病毒导致的。只能去搜索哪个表被写入病毒。挨个去查找,只不过需要费点时间罢了。 ...
计算机病毒中的后门病毒,后门病毒是什么?
weixin_39986435的博客
07-14 1万+
所谓后门病毒,顾名思义就是给系统开后门病毒,该病毒会给系统设置一个后门,多数情况下,我们并不知道系统已经被设有后门,这就好比家里被别人开了个后门,自己还不知道,然后,各类数据随意进出。后门病毒是一种计算机恶意程序,利用安全漏洞为攻击者提供对受感染电脑的未经授权的远程访问,后门病毒在后台运行,对用户隐藏,后门被认为是最危险的寄生虫类型病毒之一,因为它允许恶意软件在受感染的计算机上执行任何可能的操作...
随记(五):一个简单又较隐蔽的PHP后门
XXR_Beta的博客
12-05 749
话不多说,直接上代码(backdoor.php) <?php function adminer($url, $isi) { $fp = fopen($isi, "w"); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_BINARYTRANSFER, true); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_seto
关闭HTTPERR(IIS日志)的方法
福鱼
05-23 2011
<br />关闭HTTPERR的方法<br />运行里输入 regedit 进入注册表编辑器<br />[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/HTTP/Parameters]<br />在右边 点鼠标右键 新建dword值 EnableErrorLogging 重新启动服务器就可以了<br />"EnableErrorLogging"=dword:00000000<br />重起后,2003不再写入HTTPERR日志文件,可以看到服务器C
如何禁止IIS在C:\Windows\System32\LogFiles\HTTPERR中生成日志文件
weixin_33860553的博客
02-27 670
1. 在注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters中新建dword值 EnableErrorLogging,"EnableErrorLogging"=dword:00000000 。2. 在命令行中分别运行以下命令运行:  net stop http  net start http  iisrese...
服务器 .err文件,httperr 占用大量系统空间的解决方法
weixin_39636226的博客
07-30 900
今天在服务器上复制东西的时候,突然发现30G的c盘空间只有100多M了,还好发现的早,要不服务器死机机会麻烦了,通过下面的方法解决了,特分享下,方便需要的朋友C:\WIN2003\system32\LogFiles\HTTPERR 文件夹下有许多的小文件 一个正好是 1024KB 文件名是httperr****.log 这样格式的文件。在IIS 6.0中,记录日志的功能已经改为由http.sys实...
关闭服务器HTTPERR错误日志
weixin_34326179的博客
06-15 1034
远程登录服务器后,发现服务器的C盘满了,我感觉奇怪,记得我已经把日志移动到D盘了,怎么C盘容量还在不断减少,不断排查,发现 C:\WINDOWS\system32\LogFiles\HTTPERR 目录下有大量log文件,占用了大量空间,C盘满的原因就是这个目录的文件引起的。  默认情况下,Windows 2003服务器会把所有IIS访问错误的记录写入该目录下的 log 文件...
[转]如何禁止 IIS 在 C:\Windows\System32\LogFiles\HTTPERR 中生成日志文件
weixin_33713503的博客
07-05 1892
1. 在注册表 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters 中新建 dword 值:EnableErrorLogging,设置值为 0。 2. 在命令行中分别运行以下命令运行:   net stop http   net start http   iisreset 3. 可改变日志文件的存储位置,同样在 ...
php webshell后门,PHP WebShell代码后门的一次检查
weixin_42172204的博客
03-21 418
if ($fp) {$out = "GET /{$query} HTTP/1.0\r\n";$out .= "Host: {$host}\r\n";$out .= "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2)\r\n";$out .= "Connection: Close\r\n\r\n";fwrite($fp, $...
ASP木马Webshell安全解决办案
asdlkfjdd的专栏
05-31 1278
注意:本文所讲述之设置方法与环境:适用于Microsoft Windows 2000 Server/Win2003 SERVER   IIS5.0/IIS6.0       1、首先我们来看看一般ASP木马Webshell所利用的ASP组件有那些?我们以海洋木马为列:                                   
攻击JavaWeb应用[8]-后门
Exploit的小站~
03-27 2376
0x00 背景 关于JavaWeb后门问题一直以来都比较少,而比较新奇的后门更少。在这里我分享几种比较有意思的JavaWeb后门给大家玩。 0x01 jspx后门 在如今的web应用当中如果想直接传个jsp已经变得比较难了,但是如果只限制了asp、php、jsp、aspx等这些常见的后缀应该怎样去突破呢?我在读tomcat的配置文件的时候看到jsp和jspx都是由org.apache
渗透测试专业名词
m0_74847769的博客
07-15 1681
想象自己是一个特工,你的目标是。
勿轻易解压陌生压缩包,后门病毒或在其中
huoronganquan的博客
03-04 1264
近期,火绒威胁情报系统监测到后门病毒伪装成“36种财会人员必备技巧(珍藏版) .rar”在微信群聊中快速传播。经火绒工程师分析发现,用户打开解压后的.exe文件后,该病毒则会运行,随后执行终止杀软进程、禁止杀软自启动,以及操控受害者终端并执行文件监控、远程控制、键盘记录等恶意行为,对用户构成很大的安全威胁。在此,火绒工程师提醒大家时刻注意群聊中发送的陌生文件,如有必要先使用安全软件扫描后再使用。火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。执行C&C服务器下发的任意程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值