最近学习了lcx提供的资料《利用wsc来做一个asp后门》，在了解了wsc文件的一些特性后，产生了一个有趣的想法：

如果将其与JSRAT和WMI Backdoor相结合，那将会有多大的威力呢？

本文主要是从工业控制网络必备的组件 PLC （可编程控制器）出发，阐明了一种新型后门的实现。本文主要内容是来自 BLACK HAT 2015 上柏林自由大学 scadacs 团队发表的演讲，这是他们的paper原文Internet-facing PLCs - A New Back Orifice。我会滤掉他们论文凑字数的部分，并在他们给出的核心思路上增加一些实现方面的具体技巧和资料。

常言道，出来混总是要还的，看了乌云知识库的《网络小黑揭秘系列之黑产江湖黑吃黑 ——中国菜刀的隐形把手》一文，表示很震惊，网络竟然是如此的不安全，无聊之下花了一周时间来调查360所说的“从公开的whois信息显示，该域名注册邮箱为root90sec@gmail.com，同时，该邮箱同时还有注册“maicaidao.me”这个域名。安全圈的朋友们一看这个邮箱，应该并不陌生，没错这个邮箱的主人正是某sec组织的成员之一，接下来的我们就不多说了，有兴趣的可以自己去挖挖。”

黑产乃法外之地，被丛林法则所支配。没有了第三方强制力量的保障和监督，在那个圈子里我们可以看到两个极端：想做大生意的往往极重信誉，而那些只想捞一票就走的则会肆无忌惮地黑吃黑。

2015年12月中，360天眼实验室发布了“网络小黑揭秘系列之黑色SEO初探”，简单揭露了下网络上的黑色SEO活动，同时也提到了很多黑客工具中带有后门，其中就包括了某些使用面非常广的工具。没错，这回我们的主角是小黑们最喜闻乐见的中国菜刀。

众所周知，每时每刻，世界上的web服务器都在遭到成千上万次恶意请求的攻击，攻击形式也是各有不同。今天，我研究的就是其中的一类：webshell。

Managed Object Format (MOF)是WMI数据库中类和类实例的原始保存形式。具体介绍可以阅读《WMI 的攻击，防御与取证分析技术之防御篇》，Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件：

之前@三好学生的文章JavaScript BackDoor中提到了利用rundll32.exe执行一段JavaScript代码即可反弹一个Http Shell，这里将之前看到的对其原理进行分析的文章翻译和大家分享。

通俗地说，“后门”通常是计算机犯罪分子在首次攻陷系统之后留下的一个程序代码，以便于将来再次访问该系统。

但是，后门还可以是故意安插在软件项目中的安全漏洞，以便于攻击者将来通过它来控制你的系统。下面，我们就专门来讨论一下第二种情形。

看到wooyun知识库上众多大神的精彩文章，深感自身LOW到爆，故苦思冥想找来一个题目，主要求邀请码一枚，以便以后继续学习。

对于网络维护人员来说，恐怕最头痛的就是网站被黑，还留下了后门，甚至连服务器都被提权。而Hacker通常在相对不易引人注目的地方留下后门。逐个排查感觉很吃力，那么，本文姑且探讨一下在PHP环境下的Webshell自动检测的可行方案。

在2015年的12月18日,Juniper官网发布安全公告,指出在他们的Netscrren防火墙的ScreenOS软件中发现未授权的代码,其中涉及2个安全问题,一个是在VPN的认证代码实现中被安放后门,允许攻击者被动解密VPN的流量(CVE-2015-7756),另一个后门是允许攻击者远程绕过SSH和Telnet认证,利用后门密码远程接管设备(CVE-2015-7755).在Juniper的安全公告后的6个小时,Fox-IT公司找到了后门密码,并发布了Sort规则

1. 我个人非常喜爱JavaScript这门语言，而我们今天所说的就是NodeJS，JavaScript语言的一个分支。NodeJS本身就是一个Web 服务器同时他还是一门后端语言，这一点尤其重要，因为我们只需要下载一个NodeJs就可以完成一系列操作，从而免去很多的麻烦。
2. 而且即使被运维人员发现，也会以为是开发部门正在写有关NodeJs的项目。
3. NodeJs是一个非常年轻的语言，以至于很多人都没有学过。我见过运维人员懂PHP、Python的，但是懂NodeJs的，我是没见过。

笔者一直在关注webshell的安全分析，最近就这段时间的心得体会和大家做个分享。

11月13日，百度云安全天网系统，通过数十TB的日志挖掘，发现了安全宝某重点客户网站上的异常行为。之后我们的分析人员跟进，发现这是一起针对安全宝某重点客户的持续攻击。最终在客户系统上放置了Web后门。

redis是一款基于内存与硬盘的高性能数据库，在国内外被大型互联网企业、机构等广泛采用。但其一些安全配置经验却不如“LAMP”等成熟，所以很多国内企业、机构的redis都存在简单的空口令、弱密码等安全风险。

11月10号，国外安全研究者的一份文档展示，redis在未进行有效验证，并且服务器对外开启了SSH服务的前提下，攻击者有可能恶意登录服务器甚至进行提权操作（root权限）

iOS被XcodeGhost血洗一把之后，Android又被WormHole暴揍一顿。正当大家打算歇一歇的时候，FireEye的Zhaofeng等人又发表了一篇报告叫《iBackDoor: High-Risk Code Hits iOS Apps》。报告中指出FireEye的研究员发现了疑似”后门”行为的广告库mobiSage在上千个app中，并且这些app都是在苹果官方App Store上架的应用。通过服务端的控制，这些广告库可以做到：