从此刻开始,知识不断涌进你的脑海。
相关概念
WebShell是一种常见的网络安全攻击手段,攻击者通过远程上传注入恶意脚本到Web服务器上,从而获得对服务器的远程控制权限。
相应Webshell应急响应是指在检测到WebShell攻击后,采取一系列有效措施来控制、消除潜在的威胁,同时恢复受影响的系统以及服务,而我们需要做的就是找到Webshell恶意文件并解决掉它,备份并分析其代码含义以及行为特征等。
其实Webshell通俗来说就是存在于Web服务器中的后门程序。
Webshell排查手段
人工排查
静态代码识别:
典型的webshell文件的后缀名为php、jsp、asp、aspx等等,这是排查webshell的第一步。
其次,还需要根据webshell中的特征码、特征值以及特征函数来进一步判断。
动态行为检测:
Webshell作为一种与攻击者进行远程通信的中间介质,在通信过程中必然产生请求以及响应数据,这些数据都是动态行为检测的依据。
Web日志分析:
通过Webshell连接服务器一般不会在系统日志中留存记录,但是会在网站的Web日志中留下Webshell页面的URL访问数据和数据提交记录。日志分析检测技术通过大量日志文件建立请求模型从而检测出异常文件,例如:一个平时是GET的请求突然有了POST请求并且返回代码为200。
工具排查
Webshell查杀工具:例如河马、D盾、ClamAV等等
在线平台检测:例如微步云沙箱、牧云webshell检测引擎等等,其实各大网络安全厂商都有自己的云沙箱产品对外开放使用。
Webshell静态代码特征
攻击者为了达到控制Web服务器的目的,其使用的WebShell代码中存在危险的函数来执行系统命令或代码,如:
| 编程语言 | 危险函数 |
| PHP | eval(), system(), exec(), shell_exec(), passthru(), assert(), base64_decode() |
| ASP | Execute(), Eval(), CreateObject() |
| JSP | Runtime.getRuntime().exec() |
Webshell可能还会通过编码以及解码来掩盖真实意图,例如:
eval(base64_decode('encoded_string'));Webshell可能用到的文件操作类函数:
| 编程语言 | 危险函数 |
| PHP | fopen(), fwrite(), file_get_contents(), file_put_contents() |
| ASP | FileSystemObject |
Webshell使用网络操作的函数,用于与攻击者远程通信:
| 编程语言 | 危险函数 |
| PHP | fsockopen(), curl_exec(), file_get_contents(‘http://…’) |
| ASP | WinHttp.WinHttpRequest |
结语
先暂时写到这边,还有免杀的概念以及技术知识待后面有时间再来补充这篇文章。
特别声明:本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。相关资源仅供学习和研究使用,请在下载后24小时内删除。
暂无评论内容