Web应急:网站被植入Webshell

最新推荐文章于 2024-03-11 09:35:48 发布
最新推荐文章于 2024-03-11 09:35:48 发布
阅读量581 收藏 3
点赞数
原文链接:http://www.cnblogs.com/xiaozi/p/10998498.html
版权

网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。

现象描述

网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析。

Webshell查杀工具:

D盾_Web查杀 Window下webshell查杀:http://www.d99net.net/index.asp

河马:支持多平台,但是需要联网环境。

使用方法: wget http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz tar xvf hm-linux-amd64.tgz hm scan /www

事件分析

1、 定位时间范围

通过发现的webshell文件创建时间点,去翻看相关日期的访问日志。

2、Web 日志分析

经过日志分析,在文件创建的时间节点并未发现可疑的上传,但发现存在可疑的webservice接口

3、漏洞分析

访问webservice接口,发现变量:buffer、distinctpach、newfilename可以在客户端自定义

4、漏洞复现

尝试对漏洞进行复现,可成功上传webshell,控制网站服务器

5、漏洞修复

清除webshell并对webservice接口进行代码修复。

从发现webshell到日志分析,再到漏洞复现和修复,本文暂不涉及溯源取证方面。

转载于:https://www.cnblogs.com/xiaozi/p/10998498.html

an0708
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应篇】Webshell应急响应指南
大河之犬的博客
04-20 1671
或者将当前网站目录文件与此前备份文件进行比对,查看是否存在新增的不一致内容,确定是否包含 Webshell 相关信息,并确定 Webshell 位置及创建时间。通过在网站目录发现的 Webshell 文件的创建时间,判断攻击者实施攻击的时间范围,以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。通过日志发现的问题,针对攻击者活动路径,可排查网站存在的漏洞, 并进行分析(主要分析什么漏洞导致的webshell攻击)对已发现的漏洞进行漏洞复现,从而还原攻击者的活动路径。
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell...Web实战篇:网站植入Webshell、批量挂黑页、新闻源网站劫持、移动端劫持、搜索引擎劫持、网站首页被篡改、编辑器入侵事件等
网站植入Webshell的解决方案
03-25 992
什么是Webshell 从字面上理解,”Web”指需要服务器开放Web服务,”shell”指取得对服务器的某种程度的操作权限。Webshell指匿名用户(入侵者)通过网站端口,获取网站服务器的一定操作权限。 Webshell通常是以ASP、PHP、JSP、ASA或者CGI等网页文件形式存在的一种命令执行环境,也称为网页后门。黑客在入侵网站后,通常会将Webshell后门文件网站服务...
网站被挂马植入webshell导致网站瘫痪案例
tigerman20201的博客
01-25 864
一、问题现象 下午两点,刚刚睡醒,就接到了客户打来的电话,说他们的网站挂(这个用词很不准确,但是感觉到问题的严重性)了,询问是怎么发生的,之前做了什么操作,客户的回答是:什么都没做,突然就不行了!对于这样的回答,我早已习惯,因为要想从客户那里得到有用的咨询,基本上很难,因为客户不是专业人士,所以只能根据客户的描述,一步步去判断问题。 通过客户给出的这个提示,问题判断方向有如下几个方面: 1、网站无法访问了,可能服务down了。也可能服务器宕机了。 2、网站访问很慢,基本打不开,所以客户就认为宕机了,
.Net网站webshell 401?403?D盾拦截?一招内存马直接搞定
qax
01-31 1795
在参加某次公司项目时,在碰到一个.NEt的通用系统,通过审计发现了两个文件上传漏洞,网站管理员发现网站被上传webshell后,最开始是修改了网站的配置文件,导致脚本文件禁止执行,后来通过上传web.config的方式给绕过了,但是后面管理员又给服务器装了D盾,安全狗,天擎,导致上传的文件无法正常解析,尝试了各种免杀的aspx马,都是提示禁止执行脚本文件,最后通过加载内存马的方式绕过了D盾的检测。
应急响应-Webshell-典型处置案例
最新发布
qq_50765147的博客
03-11 809
综上,对发现的线索梳理如下:服务器于 2018 年 11 月 23 日被上传了 Webshell 网页木马文件Web 应用后台存在弱密码;间件后台存在弱密码;服务器未开启 Web 日志记录功能;服务器于 2018 年 11 月 23 日就存在挖矿木马的恶意程序;服务器于 2018 年 11 月 2 日就被 RDP 暴力破解并被远程登录。
窃密型WebShell检测方法
01-30
近年来网站植入后门等隐蔽性攻击呈逐年增长态势,国家互联网应急心发布的《2013年我国互联网网络安全态势综述》称2013年国家互联网应急心共监测发现我国境内6.1万个网站通过境外被植入后门,较2012年增长62.1%...
jsp webshell cmd
10-18
Webshell通常指的是攻击者在成功入侵网站植入的一段恶意代码,用于远程控制服务器或执行命令。在这里,"cmd" 指的是命令行接口,攻击者可能通过Webshell执行操作系统级别的命令。 1. **JSP基础** Java Server ...
饭客内部版webshell
04-25
在网络安全领域,"WebShell"是一个特殊的术语,它指的是攻击者在目标网站上留下的后门程序,通常通过利用Web应用的安全漏洞植入WebShell允许攻击者远程控制被入侵的服务器,执行各种操作,如读取、修改、上传或...
WebShell是什么?如何抵御WebShell?
a38417的博客
08-10 2364
WebShell是黑客经常使用的一种恶意脚本,原理就是利用Web服务器自身的环境运行的恶意代码。就是通过WebShell脚本的上传,利用网页服务程序实现操控服务器的一种方式。以PHP语言为例,只需要编写一个简单的PHP代码文件,上传到网站目录,就可以对网站服务器进行操控,包括读取数据库、删除文件、修改主页等都可以做到。这么一个简单的语句就可以为黑客入侵打开一扇大门,让黑客可以随意地执行任意代码。Webshell是通过服务器开放的端口获取服务器的某些权限。...
webshell清理工具
04-27
可检测清除webshell文件
阿里云提醒 网站WebShell木马后门的处理过程
网站安全专家
01-10 6686
昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站webshell木马文件植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站木马文件的路径地址:/www/wangzhan/safe/indnx...
运维圣经:Webshell应急响应指南
qq_61553520的博客
06-14 1598
Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵网站后,通常会将Webshell后门文件网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,以达到控制网站服务器的目的。
应急响应-网站入侵篡改指南_Webshell内存马查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 1911
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站出现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
网络安全-webshell详解(原理、攻击、检测与防御)
m0_59162248的博客
12-13 5421
Webshell是通过服务器开放的端口获取服务器的某些权限。webshell又称脚本木马,一般分为大马、小马、一句话木马。大马,体积大、功能齐全、能够管理数据库、文件管理、对站点进行快速的信息收集,甚至能够提权。小马,一般而言,我们在上传文件的时候,会被限制上传的文件大小或是拦截的情况,那么我通过小马来上传大马,实现我们想要的功能。一句话木马,短小精悍、功能强大、隐蔽性好、使用客户端可以快速管理webshell
应急响应-Webshell
weixin_45626840的博客
08-15 1571
shell的概念源于操作系统,就是一个解析字符串命令并执行的程序。为了动态执行某些功能,编程语言一般会提供一些函数,将用户输入的字符串解析为语言代码,或解析为操作系统命令。典型的PHP一句话木马php?通过网络IO(socket API),获得cmdeval()将cmd字符串当作操作系统命令执行。Webshell就是指JSP、ASP、PHP等编程语言(网页脚本)的程序,一般带有命令执行、文件操作等功能。通过Web服务器来通信和调用,并具有shell的功能,称为Webshell
网站被攻击如何修复网站漏洞
网站安全专家
10-31 2025
CDN节点部署在各处,可以避免源网站受到黑客的直接攻击,提高源网站IP的安全性,加快网站的快速速度。5.更改原始配置以修复漏洞后,我们需要更改一些以前的配置文件,如网站背景密码、数据库连接密码,如果格式数据库是ACCESS、ASA等格式,我们需要更改路径或文件名,以防止黑客通过以前的记录信息再次入侵,并更改管理员密码如管理员账户。2、加强安全意识如果有多层安全设备来保护网站,并且网站源代码经过专业的人工安全审计,如果网站的后台密码或FTP密码设置为123456等弱口令,那么网站再怎么安全,还是无用的。
网络安全应急响应----9、WebShell应急响应
七天
03-23 8940
文章目录一、Webshell简介1、常见webshell2、Webshell检测二、Webshell应急响应流程1、判断是否被植入webshell2、临时处置3、Webshell排查4、系统排查4.1、Windows系统排查4.2、Linux系统排查4.3、Web日志分析4.4、网络流量排查4.5、清除加固三、Webshell防御方法 一、Webshell简介 Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻
2021护网行动:MySQL注入与Webshell技术详解
一种常见手法是利用`SELECT`语句的`into outfile`特性来写入shell脚本(webshell),如`select 'payload' into outfile '/path/to/webshell'`。这需要满足以下条件: - 攻击者需要知道数据库的绝对路径,且MySQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值