微软Defender安全研究团队最新报告指出,黑客正流行用Cookie值作为开关,激活Linux服务器上的PHP后门脚本。正常流量扫过,这些脚本安静如鸡。只有特定Cookie出现,才从$_COOKIE超级全局变量读取指令,执行命令或上传文件。这种设计让后门藏在日常Web流量里,日志难抓。根据微软分析,至少一种案例中,黑客先用合法凭证或漏洞入侵,植入Cron任务,每隔一段时间重生PHP加载器。即使管理员删文件,Cron照样拉活它。加载器多层混淆,解析Cookie后解码二级载荷,执行时零痕迹。
加载器变种五花八门。第一种用多层运行时检查,解析结构化Cookie,执行编码载荷。第二种切分Cookie数据,重建成文件处理和解码函数,条件写入二级载荷到磁盘并跑起来。第三种单Cookie当标记,触发上传或执行输入。微软官方公告显示,这些脚本借Web服务器进程、控制面板和Cron基础设施,绕过传统检测。Cookie执行模型拉低噪音,Cron自愈切断清理路径。黑客不费力搞复杂链条,就用现成路径维持后门。服务器日志里,恶意行为融进正常请求,审查工具常漏网。
防御起来得下狠手。微软建议强制多因素认证护住托管面板、SSH和管理员接口,盯紧异常登录。限制Shell解释器跑,审计所有Cron任务和定时作业,扫Web目录里可疑文件生成。控制面板Shell权限拉最低。这些招数直击Cookie门控和Cron持久化。报告强调,黑客重用成熟Web Shell套路,Cookie移控逻辑让后门抗检。Linux服务器常见于托管环境,一招不防就变跳板。