一、webshell概述
webshell通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、执行命令功能,是一种网页后门。攻击者在入侵一个网站后,通常会将webshell后门文件与网站服务web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,以达到控制网站服务器的目的。
二、webshell分类
1、JSP型webshell脚本
全称Java Server Pages,是一种动态web资源的开发技术。JSP是在传统的网页HTML文件中插入Java程序段和JSP标记,从而形成JSP文件。
2、ASP型webshell脚本
全称Active Server Pages,是服务器开发专用脚本。可以与数据库和其他程序进行交互,是在IIS中运行的一种程序。
3、PHP型webshell脚本
全称Hypertext Preprocessor,是一种通用开源脚本语言,主要适用于web开发领域。可支持常见的数据库及操作系统,可快速地执行动态网页。
三、webshell用途
1、站长工具
webshell的一般用途是通过浏览器来对网站所在的服务器进行运维管理。随着webshell的发展,其作用演变成在线编辑文件、上传和下载文件、数据库操作、执行命令等。
2、持续远程控制
当攻击者利用漏洞或其他方法完成webshell植入时,为了防止其他攻击者再次利用,其会修补该网站的漏洞,以达到网站被其单独、持续控制。
3、权限提升
webshell的执行权限与web服务器运行的权限息息相关,若当前web服务器是root权限,则webshell也将获得root权限。在一般情况下,webshell为普通用户权限,此时攻击者为了进一步提升控制能力,会通过设置任务计划、内核漏洞等方法来获取root权限。
4、极强的隐蔽性
部分恶意网页脚本可以嵌套在正常网页中运行,且不容易被查杀。一旦webshell上传成功,其功能也将被视为所在服务的一部分,流量传输也将通过服务本身进行,因此拥有极强的隐蔽性。
四、webshell检测方法
1、基于流量
基于流量的webshell检测方便部署,可以通过流量镜像直接分析原始信息。
2、基于文件
通过检测文件是否加密(混淆处理),创建webshell样本hash库,可对比分析可疑文件。
3、基于日志
对常见的多种日志进行分析,可帮助我们有效识别webshell的上传行为等。
五、webshell防御方法
网页中一旦被植入webshell,攻击者就能利用它获取服务器系统权限、控制“肉鸡”发起DDos攻击、网站篡改、网页挂马、内部扫描等一系列攻击行为。因此,针对webshell的防御至关重要。
1、配置必要的防火墙,并开启防火墙策略,防止暴露不必要的服务为攻击者提供利用条件。
2、对服务器进行安全加固,如,关闭远程桌面功能、定期更换密码、使用https加密协议等。
3、加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限等。
4、安装webshell检测工具,发现可疑的webshell程序就立即隔离查杀。
5、排查程序存在的漏洞,并及时修补漏洞。
6、时常备份数据库等重要文件。
7、需要保持日常维护,并注意服务器中是否有来历不明的可执行脚本文件。
8、采用白名单机制上传文件,不在白名单的一律禁止上传,上传目录权限遵循最小权限原则。
六、常规处置方法
网站中被植入webshell文件,通常代表着网站中存在可利用的高危漏洞,攻击者利用这些漏洞,将webshell写入网站,从而获得网站的控制权。一旦在网站中发现webshell文件,可采取以下步骤进行临时处置。
1、入侵时间确定
通过在网站目录中发现的webshell文件的创建时间,判断攻击者实施攻击的时间范围,以便后续一句此时间进行溯源分析、追踪攻击者的活动路径。
2、web日志分析
对访问网站的web日志进行分析,重点关注已知的入侵时间前后的日志记录,从而寻找攻击者的攻击路径,以及所利用的漏洞。
3、漏洞分析
通过日志中发现的日志问题,针对攻击者活动路径,可排查网站中存在的漏洞,并进行分析。
4、漏洞复现
对已发现的漏洞进行漏洞复现,从而还原攻击者的活动路径。
5、漏洞修复
清除已发现的webshell文件,并修复漏洞。
七、常用工具
扫描工具
1、D盾(web查杀工具)
2、河马webshell查杀
抓包工具
1、wireshark(可捕获流量并进行分析)
八、技术操作指南
在做应急响应时,首先要判断系统是否存在植入webshell的可能,对事件发生的时间进行排查,对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站的情况,应首先排查网站首页相关js,查看是否被植入了恶意跳转的js。若网站首页被篡改或有其他被攻击的现象,则应根据网站程序信息,如程序目录、文件上传目录等,使用工具(如D盾)和搜索关键词(如eval、assert)方式定位到webshell文件并清除,然后再根据日志溯源。
1、初步预判
1)了解webshell事件表现(被植入webshell可能出现的异常现象)
(1)网页被篡改,或在网站中发现非管理员设置的内容
(2)出现攻击者恶意篡改网页或网页被植入暗链的现象
(3)发现安全设备报警
2)判断webshell事件发生时间
根据异常现象发生时间,结合网站目录中webshell文件的创建时间,可大致定位事件发生的时间段。
3)判断系统架构
收集系统信息,如服务器(Windows、Linux等)、内容管理系统(即CMS)、中间件、框架、脚本语言等,为快速溯源分析提供前期准备工作。
2、webshell排查
Windows系统排查
可利用webshell扫描工具(如D盾)对应用部署目录进行扫描,或者将当前网站目录将此前备份文件进行比对,查看是否存在新增的不一致内容,确定是否包含webshell相关信息,并确定webshell位置及创建时间。
3、webshell日志分析
Windows系统排查
对web日志进行分析,以查找攻击路径和失陷原因。知道web中间件之后,可在web中间件默认路径中分析。
4、系统排查
攻击者上传webshell之后,往往还会执行进一步的操作,如提权、添加用户、写入系统后门等,实现持久化驻留。因此还需要对系统进行排查。
Windows系统排查
1)用户信息排查
用户排查:使用net user命令直接查看用户信息
隐藏用户排查:打开计算机管理,单击本地用户和组,可查看隐藏用户。
克隆用户排查:可使用注册表,利用F值进行对比,以排查克隆用户。
2)进程排查
(1)进程排查
可关注进程名称、进程路径以及cpu占用信息等。
打开系统信息和任务管理器窗口,均可查看进程名称和其对应的执行文件(攻击者通常会模仿系统进程的命名规则来伪装)
(2)服务排查
在系统信息窗口中,单击软件环境下的服务,可查看服务的启动情况及其对应的启动文件。或使用services.msc命令,也可直接查看服务。
(3)驱动、模块、启动项排查
3)网络连接排查
使用系统自带的netstat -ano命令,可查看当前网络连接情况,定位可疑的ESTABLISHED连接。如果当前服务器只允许对指定ip地址建立连接,那么若发现未在指定范围内的连接情况,则很可能是异常连接。
4)任务计划排查
攻击者添加任务计划往往是为了持久化控制。任务计划日志通常放在C:\WINDOWS\System32\Tasks目录下,可以直接打开系统自带的“任务计划程序”窗口进行查看。若发现为非自定义的任务计划,则较为可疑,需进行排查。
5)文件排查
排查各个盘符下的相关敏感目录。
(1)temp(指系统临时文件夹,用于存储系统临时文件)
寻找可疑文件时,先重点查看攻击时间范围内的文件,然后通过文件命令来判断。一般凡是在非系统System32或Syswow64目录下的schost.exe文件基本为恶意文件。
(2)recent相关目录(最近打开的文件)
5、日志排查
Windows系统排查
(1)查看安全日志。
应重点关注的事件id:
1102:清理审计日志
4728:将成员添加到启用安全的全局组中
等等
(2)在%SystemRoot%\System32\Winevt\Logs目录下还存在大量其他日志,如,远程桌面会话日志会记录通过RDP登陆的信息。
6、网络流量排查
网络流量排查主要利用现场部署的网络安全设备,通过网络流量排查分析以下内容:
服务器高危行为、webshell连接行为、数据库危险操作等,为有效溯源提供强有力的支撑。(在缺少流量分析设备时,Windows系统可借助抓包工具wireshark)
7、清除加固
(1)处置时先断网,清理发现的webshell。
(2)如果网站被挂黑链或网页首页被篡改,那么应删除篡改内容,同时务必审计源码,保证源码中不存在恶意添加的内容。
(3)在系统排查后,及时清理系统中隐藏的后门及攻击者操作的内容。
(4)对排查过程中发现的漏洞利用点进行修补,切断攻击路径,必要时可以做黑盒渗透测试,全面发现应用漏洞。
(5)完成上述操作后恢复网站运行。
2389
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
