Webshell网络安全应急响应概述

最新推荐文章于 2024-06-07 19:04:22 发布

zheng_ju

最新推荐文章于 2024-06-07 19:04:22 发布

阅读量1.7k

点赞数 44

分类专栏：攻击溯源|应急响应文章标签： web安全安全

本文链接：https://blog.csdn.net/Project__/article/details/137147037

版权

攻击溯源|应急响应专栏收录该内容

6 篇文章 0 订阅

订阅专栏

Webshell 概述

Webshell 通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件，一般带有文件操作、命令执行功能，是一种网页后门。攻击者在入侵一个网站后，通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起，使用浏览器或专用客户端进行连接，从而得到一个服务器操作环境，以达到控制网站服务器的目的。

Webshell 分类

根据不同的脚本名称划分，常见的Webshell脚本类型有JSP、ASP、PHP等。

1．JSP型Webshell 脚本

JSP 全称Java Server Pages，是一种动态 Web 资源的开发技术。JSP是在传统的网页HTML文件（*.htm,*.html）中插入Java程序段（scriptlet）和JSP 标记（tag），从而形成JSP文件（*.jsp）。 JSP 型Webshell 脚本如下：

<%Runtime.getRuntime().exec(request.getParameter("i"));%>

2．ASP型Webshell脚本

ASP 全称Active Sever Page，是服务器开发专用脚本。它可以与数据库和其他程序进行交互，是在IIS中运行的一种程序。 ASP 型Webshell 脚本如下：

<%eval request("cmd")%>

3．PHP型Webshell脚本

PHP 全称Hypertext Preprocessor，是一种通用开源脚本语言，主要适用于Web 开发领域。PHP可支持常见的数据库及操作系统，可快速地执行动态网页。 PHP 型Webshell 脚本如下：

<?php 
    $a=exec($_GET["input"]); 
    e
 cho $a; 
?>

Webshell 检测方法

1．基于流量的Webshell检测

基于流量的Webshell检测方便部署，我们可通过流量镜像直接分析原始信息。基于payload 的行为分析，我们不仅可对已知的Webshell进行检测，还可识别出未知的、伪装性强的Webshell，对 Webshell的访问特征（IP/UA/Cookie）、payload 特征、path特征、时间特征等进行关联分析，以时间为索引，可还原攻击事件。

2．基于文件的Webshell检测

我们通过检测文件是否加密（混淆处理），创建Webshell样本hash库，可对比分析可疑文件。对文件的创建时间、修改时间、文件权限等进行检测，以确认是否为Webshell。

3．基于日志的Webshell检测

对常见的多种日志进行分析，可帮助我们有效识别Webshell的上传行为等。通过综合分析，可回溯整个攻击过程。

Webshell 防御方法

网页中一旦被植入Webshell，攻击者就能利用它获取服务器系统权限、控制 “肉鸡”发起 DDos 攻击、网站篡改、网页挂马、内部扫描、暗链/黑链植入等一系列攻击行为。因此，针对Webshell 的防御至关重要，以下为一些防御方法。

（1）配置必要的防火墙，并开启防火墙策略，防止暴露不必要的服务为攻击者提供利用条件。

（2）对服务器进行安全加固，例如，关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议等。

（3）加强权限管理，对敏感目录进行权限设置，限制上传目录的脚本执行权限，不允许配置执行权限等。

（4）安装 Webshell检测工具，根据检测结果对已发现的可疑Webshell痕迹立即隔离查杀，并排查漏洞。

（5）排查程序存在的漏洞，并及时修补漏洞。可以通过专业人员的协助排查漏洞及入侵原因。

（6）时常备份数据库等重要文件。

（7）需要保持日常维护，并注意服务器中是否有来历不明的可执行脚本文件。

（8）采用白名单机制上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。

常规处置方法

网站中被植入Webshell，通常代表着网站中存在可利用的高危漏洞，攻击者利用这些漏洞，将Webshell写入网站，从而获取网站的控制权。一旦在网站中发现Webshell 文件，可采取以下步骤进行临时处置。

入侵时间确定

通过在网站目录中发现的Webshell 文件的创建时间，判断攻击者实施攻击的时间范围，以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。

Web 日志分析

对访问网站的Web日志进行分析，重点关注已知的入侵时间前后的日志记录，从而寻找攻击者的攻击路径，以及所利用的漏洞。

漏洞分析

通过日志中发现的问题，针对攻击者活动路径，可排查网站中存在的漏洞，并进行分析。

漏洞复现

对已发现的漏洞进行漏洞复现，从而还原攻击者的活动路径。

漏洞修复

清除已发现的Webshell文件，并修复漏洞。为避免再次受到攻击，网站管理员应定期对网站服务器进行全面的安全检查，及时安装相关版本补丁，修复已存在的漏洞等。

常用工具

D盾

D盾是目前流行的Web查杀工具，使用方便，包含如下功能：

（1）Webshell 查杀、可疑文件隔离；

（2）端口进程查看、base64解码，以及克隆用户检测等；

（3）文件监控。

河马Webshell查杀

河马Webshell查杀拥有海量Webshell样本和自主查杀技术，采用传统特征+ 云端大数据双引擎的查杀技术，支持多种操作系统。

总结

在应急响应时，首先应判断系统是否存在植入Webshell的可能。根据事件发生的时间进行排查，对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站（如博彩网站、色情网站等）的情况，应首先排查网站首页相关js，查看是否被植入了恶意跳转的js。若网站首页被篡改或有其他被攻击的现象，则应根据网站程序信息，如程序目录、文件上传目录、war包部署目录，使用工具（如D盾）和搜索关键词（如eval、base64_decode、assert）方式，定位Webshell 文件并清除。然后根据日志进行溯源分析，同时除了进行Web应用层排查，还应对系统层进行全面排查，防止攻击者在获取Webshell后执行了其他的权限维持操作。可以从以下几个方向进行初步排查，分别包括Webshell排查、Web 日志分析、系统排查、日志排查、网络流量排查。最后进行清除加固。