Webshell网络安全应急响应概述

Webshell 概述

Webshell 通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵一个网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,以达到控制网站服务器的目的。

Webshell 分类

根据不同的脚本名称划分,常见的Webshell脚本类型有JSP、ASP、PHP等。

1.JSP型Webshell 脚本

JSP 全称Java Server Pages,是一种动态 Web 资源的开发技术。JSP是在传统 的网页HTML文件(*.htm,*.html)中插入Java程序段(scriptlet)和JSP 标记(tag), 从而形成JSP文件(*.jsp)。 JSP 型Webshell 脚本如下:

<%Runtime.getRuntime().exec(request.getParameter("i"));%>

2.ASP型Webshell脚本

ASP 全称Active Sever Page,是服务器开发专用脚本。它可以与数据库和其 他程序进行交互,是在IIS中运行的一种程序。 ASP 型Webshell 脚本如下:

<%eval request("cmd")%>

3.PHP型Webshell脚本

PHP 全称Hypertext Preprocessor,是一种通用开源脚本语言,主要适用于Web 开发领域。PHP可支持常见的数据库及操作系统,可快速地执行动态网页。 PHP 型Webshell 脚本如下:

<?php 
    $a=exec($_GET["input"]); 
    e
 cho $a; 
?> 

Webshell 检测方法

1.基于流量的Webshell检测

基于流量的Webshell检测方便部署,我们可通过流量镜像直接分析原始信息。 基于payload 的行为分析,我们不仅可对已知的Webshell进行检测,还可识别出 未知的、伪装性强的Webshell,对 Webshell的访问特征(IP/UA/Cookie)、payload 特征、path特征、时间特征等进行关联分析,以时间为索引,可还原攻击事件。

2.基于文件的Webshell检测

我们通过检测文件是否加密(混淆处理),创建Webshell样本hash库,可对 比分析可疑文件。对文件的创建时间、修改时间、文件权限等进行检测,以确认 是否为Webshell。

3.基于日志的Webshell检测

对常见的多种日志进行分析,可帮助我们有效识别Webshell的上传行为等。 通过综合分析,可回溯整个攻击过程。

Webshell 防御方法

网页中一旦被植入Webshell,攻击者就能利用它获取服务器系统权限、控制 “肉鸡”发起 DDos 攻击、网站篡改、网页挂马、内部扫描、暗链/黑链植入等一 系列攻击行为。因此,针对Webshell 的防御至关重要,以下为一些防御方法。

(1)配置必要的防火墙,并开启防火墙策略,防止暴露不必要的服务为攻击 者提供利用条件。

(2)对服务器进行安全加固,例如,关闭远程桌面功能、定期更换密码、禁 止使用最高权限用户运行程序、使用HTTPS加密协议等。

(3)加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权 限,不允许配置执行权限等。

(4)安装 Webshell检测工具,根据检测结果对已发现的可疑Webshell痕迹立 即隔离查杀,并排查漏洞。

(5)排查程序存在的漏洞,并及时修补漏洞。可以通过专业人员的协助排查 漏洞及入侵原因。

(6)时常备份数据库等重要文件。

(7)需要保持日常维护,并注意服务器中是否有来历不明的可执行脚本文件。

(8)采用白名单机制上传文件,不在白名单内的一律禁止上传,上传目录权 限遵循最小权限原则。

常规处置方法

网站中被植入Webshell,通常代表着网站中存在可利用的高危漏洞,攻击者 利用这些漏洞,将Webshell写入网站,从而获取网站的控制权。一旦在网站中发 现Webshell 文件,可采取以下步骤进行临时处置。

入侵时间确定

通过在网站目录中发现的Webshell 文件的创建时间,判断攻击者实施攻击的 时间范围,以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。

Web 日志分析

对访问网站的Web日志进行分析,重点关注已知的入侵时间前后的日志记录, 从而寻找攻击者的攻击路径,以及所利用的漏洞。

漏洞分析

通过日志中发现的问题,针对攻击者活动路径,可排查网站中存在的漏洞, 并进行分析。

漏洞复现

对已发现的漏洞进行漏洞复现,从而还原攻击者的活动路径。

漏洞修复

清除已发现的Webshell文件,并修复漏洞。为避免再次受到攻击,网站管理 员应定期对网站服务器进行全面的安全检查,及时安装相关版本补丁,修复已存在的漏洞等。

常用工具

D盾

D盾是目前流行的Web查杀工具,使用方便,包含如下功能:

(1)Webshell 查杀、可疑文件隔离;

(2)端口进程查看、base64解码,以及克隆用户检测等;

(3)文件监控。 

河马Webshell查杀

河马Webshell查杀拥有海量Webshell样本和自主查杀技术,采用传统特征+ 云端大数据双引擎的查杀技术,支持多种操作系统。

总结

在应急响应时,首先应判断系统是否存在植入Webshell的可能。根据事件发生的时间进行排查,对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站(如博彩网站、色情网站等)的情况,应首先排查网站首页相关js,查看是否被植入了恶意跳转的js。若网站首页被篡改或有其他被攻击的现象,则应根据网站程序信息,如程序目录、文件上传目录、war包部署目录,使用工具(如D盾)和搜索关键词(如eval、base64_decode、assert)方式,定位Webshell 文件并清除。然后根据日志进行溯源分析,同时除了进行Web应用层排查,还应对系统层进行全面排查,防止攻击者在获取Webshell后执行了其他的权限维持操作。可以从以下几个方向进行初步排查,分别包括Webshell排查、Web 日志分析、系统排查、日志排查、网络流量排查。最后进行清除加固。

相关推荐

  1. Webshell网络安全应急响应概述

    2024-04-02 18:42:03       6 阅读
  2. 网络安全应急响应之事件分类

    2024-04-02 18:42:03       27 阅读
  3. 【Linux】流量劫持网络安全应急响应

    2024-04-02 18:42:03       23 阅读
  4. 网络安全应急响应&灾备KB

    2024-04-02 18:42:03       22 阅读

最近更新

  1. leetcode705-Design HashSet

    2024-04-02 18:42:03       5 阅读
  2. Unity发布webgl之后打开streamingAssets中的html文件

    2024-04-02 18:42:03       5 阅读
  3. vue3、vue2中nextTick源码解析

    2024-04-02 18:42:03       6 阅读
  4. 高级IO——React服务器简单实现

    2024-04-02 18:42:03       5 阅读
  5. 将图片数据转换为张量(Go并发处理)

    2024-04-02 18:42:03       4 阅读
  6. go第三方库go.uber.org介绍

    2024-04-02 18:42:03       6 阅读
  7. 前后端AES对称加密 前端TS 后端Go

    2024-04-02 18:42:03       7 阅读

热门阅读

  1. Linux关机命令

    2024-04-02 18:42:03       3 阅读
  2. 冥想第一千一百一十七天

    2024-04-02 18:42:03       4 阅读
  3. 在linux上设置nginx上自动启动

    2024-04-02 18:42:03       4 阅读
  4. 第一章设计模式概述

    2024-04-02 18:42:03       3 阅读
  5. 介绍几个AI相关的工具

    2024-04-02 18:42:03       4 阅读
  6. 【软考高项范文】论信息系统项目的进度管理

    2024-04-02 18:42:03       6 阅读
  7. WebRTC即时通讯核心协议-TRUN(RFC5766)

    2024-04-02 18:42:03       3 阅读
  8. 队列的顺序实现

    2024-04-02 18:42:03       2 阅读
  9. 松鼠症患者福音-视频下载工具

    2024-04-02 18:42:03       3 阅读
  10. set的一些用法和问题

    2024-04-02 18:42:03       4 阅读