应急响应-Webshell概述

最新推荐文章于 2024-05-20 20:42:03 发布
最新推荐文章于 2024-05-20 20:42:03 发布
阅读量760 收藏 26
点赞数 19
分类专栏: 应急响应 文章标签: 网络 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50765147/article/details/136257930
版权

Webshell通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混子一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,已到达控制服务器的目的。

Webshell分类

根据不同的脚本名称,常见的Webshell脚本类型有JSP、ASP、PHP等。

JSP型Webshell脚本
  • JSP全称Java Server Pages,是一种动态Web资源的开发技术。JSP是在传统的网页HTML文件(*.htm,*.html)中插入java程序段(scriptlet)和JSP标记(tag),从而形成JSP文件(*.jsp)。
  • JSP型Webshell脚本如下:
    • <%Runtime.getRuntime().exec(request.getParameter("i"));%>
ASP型Weshell脚本
  • ASP全称Active Server Page,是服务器开发专用脚本。它可以与数据库其他程序进行交互,是在IIS中运行的一种程序。
  • ASP型Webshell脚本如下:
    • <%eval request("cmd")%>
PHP型Webshell脚本
  • PHP全称Hypertext Preprocessor,是一种通用开源脚本语言,主要适用于Web开发领域。PHP可支持常见的数据库及操作系统,可快速地执行动态网页。
<?php
  $a=exec($_GET["input"]);
  echo $a;
?>
Webshell用途
站长工具
  • Webshell的一般用途是通过浏览器来对网站所在的服务器进行运维管理。随着Webshell的发展,其作用演变为在线编辑文件、上传和下载文件、数据库操作、执行命令等。
持续远程控制
  • 当攻击者利用漏洞或其他方法完成Webshell植入时,为了防止其他攻击者再次利用,其会修补该网站的漏洞,已到达网站被其单独、持续控制。而Webshell本身所拥有的密码验证可以确保其在未遭受暴力破解工具攻击的情况下,只可能被其上传者利用。
权限提升
  • Webshell的执行权限与Web服务器的权限息息相关,若当前Web服务器是root权限,则Webshell也将获得root权限。在一般情况下,Webshell为普通用户权限,此时攻击者为了进一步提升控制能力,会通过设置任务计划、内核漏洞等方法获取root权限。
极强的隐蔽性
  • 部分恶意网页脚本可以嵌套在正常网页运行,且不容易被查杀。一旦Webshell上传成功,其功能也将被视为送在服务的一部分,流量传输也将通过Web服务本身进行,因此拥有极强的隐蔽性。
Webshell检测方法
基于流量的Webshell检测
  • 基于流量的Webshell检测方便部署,我们可以通过镜像流量直接分析原始信息。基于payload的行为分析,我们不仅可对已知的Webshell进行检测,还可以识别出未知的、伪装性强的Webshell,对Webshell的访问特征(IP/UA/Cookie)、payload特征、path特征、时间特征等进行关联,以时间为索引,可还原攻击事件。
基于文件的Webshell检测
  • 我们通过检测文件是否加密(混淆处理),创建Webshell样本hash库,可对比分析可疑文件。对文件的创建时间、修改时间、文件权限等进行检测,已确认是否为Webshell。
基于日志的Webshell检测
  • 对常见的多种日志进行分析,可帮助我们有效识别Webshell的上传行为等。通过综合分析,可回溯整个攻击过程。
Webshell防御方法
  • 网页中一旦被植入Webshell,攻击者就能利用它获取服务器系统权限、控制“肉鸡”发起DDos攻击、网站篡改、网页挂马、内部扫描、暗链/黑链植入等一些列攻击。因此,针对Webshell的防御至关重要,以下为一些防御方法。
配置必要的防火墙
  • 配置防火墙,开启策略,防止暴力不必要的服务为攻击者提供利用条件。
进行安全加固
  • 对服务器进行安全加固,如,关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议等。
加强权限管理
  • 对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等。
安全Webshell检测工具
  • 根据检测结果对已发现的可疑Webshell痕迹立即隔离查杀,并排查漏洞。
排查程序存在的漏洞
  • 对存在的漏洞,及时修补。可以通过专业人员的协助排查漏洞及入侵原因。
时常备份数据库等重要文件
保持日常维护
  • 注意服务器中是否有来历不明的可执行脚本文件。
采用白名单机制
  • 不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则

岁月冲淡々
关注
  • 19
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python正则表达式中的re.S,re.M,re.I的作用
a88842443的博客
03-30 3409
正则表达式可以包含一些可选标志修饰符来控制匹配的模式。修饰符被指定为一个可选的标志。多个标志可以通过按位 OR(|) 它们来指定。如 re.I | re.M 被设置成 I 和 M 标志: 修饰符描述 re.I 使匹配对大小写不敏感 re.L 做本地化识别(locale-aware)匹配 re.M 多行匹配,影响 ^ 和 $ re.S ...
什么是webshell,遇到webshell文件怎么办?
Anprou的博客
04-17 1万+
前段时间,有一个用户问小编什么是webshell,悬镜服务器卫士是针对webshel文件内容进行扫描的,还是针对文件夹进行扫描的?今天小编就给大家简单的介绍下。 先来普及下什么是webshell?部分内容来源网络webshellweb入侵的脚本攻击工具。 简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些 asp或php木马
luci-app-webshell_1-1_all.ipk
08-17
我也不知道怎么搞的,上一个webshell 会在网页上产生一个错误,是xrh.js使用上出现的错吴。我记得自己测试通过的呢,这个是我修正后自己生成的。这个应该兼容大多数的平台,只有一个主页,一个lua。我也不知道怎么写人,源码放在https://github.com/wjcroom/luci-app-webshell
wazuh-webshell检测规则
12-20
wazuh_webshell检测规则
D盾-webshell检测必备工具
07-09
D盾是目前最为流行和好用的web查杀工具,同时使用也简单方便,在web应急处置的过程中经常会用到。D盾的功能比较强大, 最常见使用方式包括如下功能:1、查杀webshell,隔离可疑文件;2、端口进程查看、base64解码以及克隆账号检测等辅助工具;3、文件监控。第一个是D盾的主要功能,后面功能是D盾的辅助功能,但是在处理web甚至是病毒的过程中可能都会用到。
应急响应-攻击入侵排查 教学PPT
11-17
应急响应-攻击入侵排查 被入侵的症状 解读WEB、系统日志 WEBshell的特征 检查工具的介绍
webshell事件应急响应服务现场操作手册
04-07
webshell事件应急响应服务现场操作手册
网络安全-webshell详解(原理、攻击、检测与防御)
热门推荐
关注网络安全、云原生安全
09-14 6万+
简介 原理 攻击 WebShell管理工具 Cknife中国菜刀 antSword中国蚁剑 冰蝎动态二进制加密网站管理客户端 weevely3Weaponized web shell Altmanthe cross platform webshell tool in .NET Webshell SniperManage your website via terminal quasibotcomplex webshell manager, quasi-http botne...
054 webshell介绍与文件上传漏洞
鸡蛋炒鸡蛋
03-24 6486
文章目录
webshell脚本自查
loveqqcc的博客
03-14 301
find /site/* -type f -name “*.php” |xargs grep “eval” 如果木马做了免杀处理,可以查看是否使用加密函数 find /site/* -type f -name “*.php” |xargs grep “base64_decode” 查看是否做了拼接处理 find /site/* -type f -name “*.php” |xargs grep...
应急响应-Webshell
weixin_45626840的博客
08-15 1159
shell的概念源于操作系统,就是一个解析字符串命令并执行的程序。为了动态执行某些功能,编程语言一般会提供一些函数,将用户输入的字符串解析为语言代码,或解析为操作系统命令。典型的PHP一句话木马php?通过网络IO(socket API),获得cmdeval()将cmd字符串当作操作系统命令执行。Webshell就是指JSP、ASP、PHP等编程语言(网页脚本)的程序,一般带有命令执行、文件操作等功能。通过Web服务器来通信和调用,并具有shell的功能,称为Webshell
应急响应 - Webshell 处理 15
战神/calmness的博客
02-05 9419
目录 Webshell概述 Webshell分类 JSP型Webshell脚本 ASP型Webshell脚本 PHP型Webshell脚本 Webshell用途 1.站长工具 2.持续远程控制 3.权限提升 4.极强的隐蔽性 Webshell检测方法 1.基于流量的Webshell检测 2.基于文件Webshell检测 3.基于日志的Webshell检测 Webshell防御方法 常规处置方法 入侵时间确定 Web日志分析 漏洞分析 漏洞修复 常用工具 扫.
应急响应-Linux 应急响应命令总结
lza20001103的博客
12-16 1758
应急响应-Linux 应急响应命令总结
01应急响应相关概述与流程
WX公众号-小白学安全
01-21 3208
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件 网络攻击事件 拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件 信息破坏事件 信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件 信息内容安全事件 违反宪法和法律、行政法规的
Linux网络编程:网络基础
最新发布
weixin_73234157的博客
05-20 604
当我们形成计算机网络后,小明要给他的暗恋对象小红发一句“我喜欢你”,结果发给了小芳……,在计算机网络中会出现许许多多的主机,当我们进行网络通信时,我们要通过协议来找到指定的接收方。同理在单台主机中,数据从键盘中读入再转载到当前网卡也是需要协议的。简单来说:协议就是一种约定当计算机在读取数据时,发现数据中存在向网卡输送的标志(协议)时,就往网卡输送。当网卡读取到输送给小红,网卡就不会发送给小芳。
使用MPLS解决BGP的路由黑洞(详解)
qq_64302290的博客
05-18 232
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
计算机网络
zengkui198513的博客
05-15 307
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
应急响应webshell
10-27
应急响应webshell指的是对于网络攻击中利用Web应用漏洞植入的恶意脚本进行应急处理及消除的过程。 首先,当发现系统中存在Webshell时,需要立即进行紧急处置。首要任务是确定受到攻击的服务器是否被完全控制,并尽快切断服务器与外部网络的连接,防止进一步的恶意操作和信息泄漏。 接着,需要分析并确定Webshell的来源,包括被攻击的Web应用程序、操作系统的漏洞或者网络设备的安全风险等,以便进一步修复漏洞和强化系统安全防护。 在查杀Webshell时,可以通过以下步骤进行: 1. 隔离受感染的服务器,确保不会进一步感染其他系统。 2. 分析Webshell的特征和行为,并使用防病毒软件进行扫描查杀。 3. 删除或修复被攻击的Web应用程序,修复系统漏洞,同时更新操作系统和相关补丁,加强系统安全性。 4. 对服务器上的所有账号密码进行修改,并确保使用强密码策略,以防止重新被攻击。 5. 监控服务器日志,确定是否有其他的疑似入侵行为,及时采取应对措施。 6. 恢复服务器服务,重启Web服务和其他相关服务。 最后,应对Webshell攻击的关键是预防。加强安全意识培训,及时更新和升级系统和应用程序,部署防火墙、入侵检测系统等安全设备,进行定期安全审计和漏洞扫描,并配置合理的安全策略和权限控制,以最大程度减少Webshell的攻击风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值