WebShell簡介

1、WebShell分類

• JSP類型

• ASP類型

• php類型

2、WebShell用途

• 站長工具

• 持續(xù)遠(yuǎn)程控制

• 權(quán)限提升

• 極強(qiáng)隱蔽性

3、WebShell檢測方法

• 基于流量的 WebShell 檢測

• 基于文件的 WebShell 檢測

• 基于日志的 WebShell 檢測

WebShell 常規(guī)處置方法

• 確定入侵時(shí)間：文件新建時(shí)間或修改時(shí)間，確定時(shí)間以便依據(jù)時(shí)間進(jìn)行溯源分析、追蹤攻擊者的活動(dòng)路徑

• Web 日志分析：通過Web日志進(jìn)行分析，關(guān)注入侵前后的日志記錄，從而尋找攻擊者的攻擊路徑

• 漏洞分析：通過日志查找攻擊路徑，溯源找到網(wǎng)站中存在的漏洞，并進(jìn)行漏洞分析

• 漏洞復(fù)現(xiàn)：對發(fā)現(xiàn)的漏洞進(jìn)行漏洞復(fù)現(xiàn)，從而還原攻擊者的活動(dòng)路徑

• 漏洞修復(fù)：清除WebShell并進(jìn)行漏洞修復(fù)，避免再次攻擊；定期進(jìn)行網(wǎng)站的全面安全檢查，及時(shí)安裝相關(guān)補(bǔ)丁

【——全網(wǎng)最全的網(wǎng)絡(luò)安全學(xué)習(xí)資料包分享給愛學(xué)習(xí)的你，關(guān)注我，私信回復(fù)“資料領(lǐng)取”獲取——】
1.網(wǎng)絡(luò)安全多個(gè)方向?qū)W習(xí)路線
2.全網(wǎng)最全的CTF入門學(xué)習(xí)資料
3.一線大佬實(shí)戰(zhàn)經(jīng)驗(yàn)分享筆記
4.網(wǎng)安大廠面試題合集
5.紅藍(lán)對抗實(shí)戰(zhàn)技術(shù)秘籍
6.網(wǎng)絡(luò)安全基礎(chǔ)入門、linux、web安全、滲透測試方面視頻

WebShell檢測——常用工具

1、掃描工具

• D盾 WebShell 查殺

• 掃描工具-D盾：http://www.d9.NET.net/

• 河馬 WebShell 查殺

• 河馬webshell工具：https://www.shellpub.com/

• 深信服 WebShellKillerTool

• 掃描工具-深信服WebShellKillerTool：

https://edr.sangfor.com.cn/#/introduction/wehshell

• 安全狗網(wǎng)馬查殺

2、抓包工具-Wireshark

Webshell——模擬攻擊

1、訪問數(shù)據(jù)庫后臺(tái)

訪問
http://xxx.xxx.xxx.xxx/phpmyadmin/index.php，發(fā)現(xiàn)弱密碼 root/root 可以登

錄到數(shù)據(jù)庫管理的后臺(tái)

2、在變量中查看 general_log 和 general_log_file

• 修改 general_log 為 ON

• 修改 general_log_file 為網(wǎng)站根目錄：

C:UsersAdministratorDesktopphpstudyPHPTutorialWWWwebshell.php

3、成功寫入一句話木馬

4、寫入成功，訪問 http://xxx.xxx.xxx.xxx/webshell.php 測試連接成功

5、蟻劍連接 webshell 進(jìn)行利用

應(yīng)急響應(yīng)——事件處置

1、webshell排查

• 通過告警定位到告警文件，查看文件內(nèi)容，確認(rèn)為 webshell 后門

• 通過wireshark流量分析，發(fā)現(xiàn)有來自 xxx.xxx.xxx.118 的數(shù)據(jù)請求，判定為蟻劍工具連接

webshell，木馬文件為 /webshell.php

2、查看 webshell 文件

• 查看內(nèi)容發(fā)現(xiàn)為一句話木馬，并且以日志的方式寫入

• 查看文件上傳的時(shí)間

3、全盤查殺木馬文件，并清除

• 使用工具查殺是否還存在 webshell

• 刪除木馬文件

4、修復(fù)漏洞

• 溯源發(fā)現(xiàn)攻擊者是通過日志文件寫入webshell的，將 general_log 配置改為 OFF

• 所以修改日志配置，并且修改 phpMyAdmin 登錄的密碼

應(yīng)急響應(yīng)——根除與恢復(fù)

1、服務(wù)器斷網(wǎng)，清理webshell及惡意程序

2、對服務(wù)器進(jìn)行加固，更改應(yīng)用及系統(tǒng)密碼，修補(bǔ)漏洞

3、清理完成確認(rèn)安全后，重新部署上線

1人點(diǎn)贊

應(yīng)急響應(yīng)實(shí)戰(zhàn)案例

作者：Mr_RyanXu
鏈接：
https://www.jianshu.com/p/56f3af8b5ac0
來源：簡書
著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)，非商業(yè)轉(zhuǎn)載請注明出處。