webshell
后门
“web”的含义是显然需要服务器开放web服务
“shell”的含义是取得对服务器某种程度上操作权限。
哪些途径传shell:
漏洞 第三方组件 web 容器
webshell 操作本地资源 的范围取决于解析器的权限
webshell 的特性
本地资源操作 (读取软硬件信息 本地磁盘文件的读写)
无上下级链接
需认证登录
webshell自动扫描工具:neopi
windows完整性检查: fastsum
常见webshell函数
(1)存在系统调用的命令执行函数,如eval、system、cmd_shell、assert等;
(2)存在系统调用的文件操作函数,如fopen、fwrite、readdir等;
(3)存在数据库操作函数,调用系统自身的存储过程来连接数据库操作;
(2)基于webshell工具特征的检测
中国菜刀webshell流量特征检测:
使用最常见的一句话木马搭建的环境,直接抓包查看,可以看到菜刀发送的数据包。
webshell防御
检测 取证 抑制 是否有后门 清除后门 恢复 回溯追踪