WebShell簡(jiǎn)介

1、WebShell分類

? JSP類型

? ASP類型

? PHP類型

2、WebShell用途

? 站長(zhǎng)工具

? 持續(xù)遠(yuǎn)程控制

? 權(quán)限提升

? 極強(qiáng)隱蔽性

3、WebShell檢測(cè)方法

? 基于流量的 WebShell 檢測(cè)

? 基于文件的 WebShell 檢測(cè)

? 基于日志的 WebShell 檢測(cè)

WebShell 常規(guī)處置方法

? 確定入侵時(shí)間：文件新建時(shí)間或修改時(shí)間，確定時(shí)間以便依據(jù)時(shí)間進(jìn)行溯源分析、追蹤攻擊者的活動(dòng)路徑

? Web 日志分析：通過(guò)Web日志進(jìn)行分析，關(guān)注入侵前后的日志記錄，從而尋找攻擊者的攻擊路徑

? 漏洞分析：通過(guò)日志查找攻擊路徑，溯源找到網(wǎng)站中存在的漏洞，并進(jìn)行漏洞分析

? 漏洞復(fù)現(xiàn)：對(duì)發(fā)現(xiàn)的漏洞進(jìn)行漏洞復(fù)現(xiàn)，從而還原攻擊者的活動(dòng)路徑

? 漏洞修復(fù)：清除WebShell并進(jìn)行漏洞修復(fù)，避免再次攻擊；定期進(jìn)行網(wǎng)站的全面安全檢查，及時(shí)安裝相關(guān)補(bǔ)丁

WebShell檢測(cè)——常用工具

1、掃描工具

? D盾 WebShell 查殺

? 掃描工具-D盾：http://www.d99net.net/

? 河馬 WebShell 查殺

? 河馬webshell工具：https://www.shellpub.com/

? 深信服 WebShellKillerTool

? 掃描工具-深信服WebShellKillerTool：

https://edr.sangfor.com.cn/#/introduction/wehshell

? 安全狗網(wǎng)馬查殺

2、抓包工具-Wireshark

Webshell——模擬攻擊

1、訪問(wèn)數(shù)據(jù)庫(kù)后臺(tái)

訪問(wèn) http://xxx.xxx.xxx.xxx/phpmyadmin/index.php，發(fā)現(xiàn)弱密碼 root/root 可以登

錄到數(shù)據(jù)庫(kù)管理的后臺(tái)

2、在變量中查看 general_log 和 general_log_file

? 修改 general_log 為 ON

? 修改 general_log_file 為網(wǎng)站根目錄：

C:\Users\Administrator\Desktop\phpstudy\PHPTutorial\WWW\webshell.php

3、成功寫入一句話木馬

4、寫入成功，訪問(wèn) http://xxx.xxx.xxx.xxx/webshell.php 測(cè)試連接成功

5、蟻劍連接 webshell 進(jìn)行利用

應(yīng)急響應(yīng)——事件處置

1、webshell排查

? 通過(guò)告警定位到告警文件，查看文件內(nèi)容，確認(rèn)為 webshell 后門

? 通過(guò)wireshark流量分析，發(fā)現(xiàn)有來(lái)自 xxx.xxx.xxx.118 的數(shù)據(jù)請(qǐng)求，判定為蟻劍工具連接

webshell，木馬文件為 /webshell.php

2、查看 webshell 文件

? 查看內(nèi)容發(fā)現(xiàn)為一句話木馬，并且以日志的方式寫入

? 查看文件上傳的時(shí)間

3、全盤查殺木馬文件，并清除

? 使用工具查殺是否還存在 webshell

? 刪除木馬文件

4、修復(fù)漏洞

? 溯源發(fā)現(xiàn)攻擊者是通過(guò)日志文件寫入webshell的，將 general_log 配置改為 OFF

? 所以修改日志配置，并且修改 phpMyAdmin 登錄的密碼

應(yīng)急響應(yīng)——根除與恢復(fù)

1、服務(wù)器斷網(wǎng)，清理webshell及惡意程序

2、對(duì)服務(wù)器進(jìn)行加固，更改應(yīng)用及系統(tǒng)密碼，修補(bǔ)漏洞

3、清理完成確認(rèn)安全后，重新部署上線