写点什么

网络攻防学习笔记 Day72

发布于: 2021 年 07 月 12 日
网络攻防学习笔记 Day72

Webshell 通常指以 JSP、ASP、PHP 等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵一个网站后,通常会将 Webshell 后门文件与网站服务器 Web 目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,以达到控制网站服务器的目的。


基于流量的 Webshell 检测方便部署,我们可通过流量镜像直接分析原始信息。基于 payload 的行为分析,我们不仅可对已知的 Webshell 进行检测,还可识别出未知的、伪装性强的 Webshell,对 Webshell 的访问特征(IP/UA/Cookie)、payload 特征、path 特征、时间特征等进行关联分析,以时间为索引,可还原攻击事件。


D 盾是目前流行的 Web 查杀工具,使用方便,包含如下功能:(1)Webshell 查杀、可疑文件隔离;(2)端口进程查看、base64 解码,以及克隆用户检测等;(3)文件监控。


河马 Webshell 查杀拥有海量 Webshell 样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术,支持多种操作系统。


植入 Webshell,系统可能出现的异常现象如下:网页被篡改,或在网站中发现非管理员设置的内容;

出现攻击者恶意篡改网页或网页被植入暗链的现象;发现安全设备报警,或被上级部门通报遭遇 Webshell。


在应急响应时,首先应判断系统是否存在植入 Webshell 的可能。根据事件发生的时间进行排查,对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站的情况,应首先排查网站首页相关 js,查看是否被植入了恶意跳转的 js。


若网站首页被篡改或有其他被攻击的现象,则应根据网站程序信息,如程序目录、文件上传目录、war 包部署目录,使用工具(如 D 盾)和搜索关键词(如 eval、base64_decode、assert)方式,定位到 Webshell 文件并清除。


然后根据日志进行溯源分析,同时除了进行 Web 应用层排查,还应对系统层进行全面排查,防止攻击者在获取 Webshell 后执行了其他的权限维持操作。


可以从以下几个方向进行初步排查,分别包括 Webshell 排查、Web 日志分析、系统排查、日志排查、网络流量排查。最后进行清除加固。

发布于: 2021 年 07 月 12 日阅读数: 12
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day72