目錄

Webshell簡介

Webshell檢測手段

Webshell應(yīng)急響應(yīng)指南

一.?Webshell排查

二. 確定入侵時間

三. Web日志分析

四. 漏洞分析

五. 漏洞復(fù)現(xiàn)

六. 清除Webshell并修復(fù)漏洞

七. Webshell防御方法

Webshell簡介

Webshell通常指以JSP、ASP、 PHP等網(wǎng)頁腳本文件形式存在的一種服務(wù)器可執(zhí)行文件，一般帶有文件操作、命令執(zhí)行功能，是一種網(wǎng)頁后門。攻擊者在入侵網(wǎng)站后，通常會將Webshell后門文件與網(wǎng)站服務(wù)器Web目錄下正常的網(wǎng)頁文件混在一起，使用瀏覽器或?qū)Ｓ每蛻舳诉M(jìn)行連接，從而得到一個服務(wù)器操作環(huán)境，以達(dá)到控制網(wǎng)站服務(wù)器的目的。

Webshell檢測手段

基于流量的Webshell檢測

基于流量的Webshel檢測方便部署，我們可通過流量鏡像直接分析原始信息?；趐ayload的行為分析，我們不僅可對已知的Webshell進(jìn)行檢測，還可識別出未知的、偽裝性強(qiáng)的Webshell，對Webshell的訪問特征 (IP/UA/Cookie) 、payload特征、 path特征、 時間特征等進(jìn)行關(guān)聯(lián)分析，以時間為索引，可還原攻擊事件。

基于文件的Webshell檢測

我們通過檢測文件是否加密(混淆處理) ，創(chuàng)建Webshell樣本hash庫，可對比分析可疑文件。對文件的創(chuàng)建時間、修改時間、文件權(quán)限等進(jìn)行檢測，以確認(rèn)是否為Webshell。

基于日志的Webshell檢測

對常見的多種日志進(jìn)行分析，可幫助我們有效識別Webshell的上傳行為等。通過綜合分析，可回溯整個攻擊過程。

Webshell應(yīng)急響應(yīng)指南

如何判斷被植入了Webshell？

1. 網(wǎng)頁被篡改，或在網(wǎng)站中發(fā)現(xiàn)非管理員設(shè)置的內(nèi)容;
2. 出現(xiàn)攻擊者惡意篡改網(wǎng)頁或網(wǎng)頁被植入暗鏈的現(xiàn)象;
3. 安全設(shè)備報警，或被上級部門通報遭遇Webshell等。

一.?Webshell排查

利用Webshell掃描工具(如D盾)對應(yīng)用部署目錄進(jìn)行掃描，如網(wǎng)站D: \WWW\目錄，或者將當(dāng)前網(wǎng)站目錄文件與此前備份文件進(jìn)行比對，查看是否存在新增的不一致內(nèi)容，確定是否包含Webshell相關(guān)信息， 并確定Webshel位置及創(chuàng)建時間。然后利用文本文件打開，進(jìn)一步分析發(fā)現(xiàn)可疑內(nèi)容。
在Linux系統(tǒng)中也可以用命令：

//搜索目錄下適配當(dāng)前應(yīng)用的網(wǎng)頁文件，查看內(nèi)容是否有Webshell特征
find ./ type f -name "*.jsp" | xargs grep "exec(" 
find ./ type f -name "*.php" | xargs grep "eval(" 
find ./ type f -name "*.asp" | xargs grep "execute(" 
find ./ type f -name "*.aspx" | xargs grep "eval(" 

//對于免殺Webshell，可以查看是否使用編碼
find ./ type f -name "*.php" | xargs grep "base64_decode" 

二. 確定入侵時間

根據(jù)異?，F(xiàn)象發(fā)生時間，結(jié)合網(wǎng)站目錄中Webshell文件的創(chuàng)建時間，可大致定位事件發(fā)生的時間段。以便后續(xù)依據(jù)此時間進(jìn)行溯源分析、追蹤攻擊者的活動路徑。

三. Web日志分析

需要對Web日志進(jìn)行分析，以查找攻擊路徑及失陷原因，常見Web中間件默認(rèn)地址

Windows

Apache
apache\logs\error.log
apache\logs\access.log

IIS
C:\inetpub\logs\LogFiles
C:\WINDOWS\system32\LogFiles

Tomcat
tomcat\access_log

Linux

Apache
/etc/httpd/logs/access_log
/var/log/httpd/access_log

Nginx
/usr/local/nginx/logs

在Linux日志排查時，為方便日志檢索及溯源分析，列舉了常用日志檢索命令

定位具體的IP地址或文件名

find . access_log | grep xargs ip
find . access_log | grep xargs filename

查看頁面訪問前10的IP地址

cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10

查看頁面訪問前10的URL地址

cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10

四. 漏洞分析

通過日志分析發(fā)現(xiàn)的問題，針對攻擊者的活動路徑，可排查網(wǎng)站中存在的漏洞，并進(jìn)行分許

五. 漏洞復(fù)現(xiàn)

復(fù)現(xiàn)攻擊者的攻擊路徑文章來源地址http://www.zghlxwxcb.cn/news/detail-491698.html

六. 清除Webshell并修復(fù)漏洞

1. 處置時先斷網(wǎng)，清理發(fā)現(xiàn)的 Webshell
2. 如果網(wǎng)站被掛黑鏈或者被篡改首頁，那么應(yīng)刪除篡改內(nèi)容，同時務(wù)必審計源碼，保證源碼中不存在惡意添加的內(nèi)容
3. 在系統(tǒng)排查后，及時清理系統(tǒng)中隱藏的后門及攻擊者操作的內(nèi)容，存在 rootkit 后門，則建議重裝系統(tǒng)
4. 對排查過程中發(fā)現(xiàn)的漏利用點(diǎn)進(jìn)行修補(bǔ)，必要時可以做黑盒滲透測試，全面發(fā)現(xiàn)應(yīng)用漏洞
5. 待上述操作處置完成，重新恢復(fù)網(wǎng)站運(yùn)行

七. Webshell防御方法

1. 配置必要的防火墻，并開啟防火墻策略，防止暴露不必要的服務(wù)為攻擊者提供利用條件
2. 對服務(wù)器進(jìn)行安全加固，例如，關(guān)閉遠(yuǎn)程桌面功能、定期更換密碼、禁止使用最高權(quán)限用戶運(yùn)行程序、使用 HTTPS 加密協(xié)議等
3. 加強(qiáng)權(quán)限管理，對敏感目錄進(jìn)行權(quán)限設(shè)置，限制上傳目錄的腳本執(zhí)行權(quán)限，不允許配置執(zhí)行權(quán)限
4. 安裝 Webshell 檢測工具，根據(jù)檢測結(jié)果對已發(fā)現(xiàn)的可疑 Webshell 痕立即隔離查殺，并排查漏洞
5. 排查程序存在的漏洞，并及時修補(bǔ)漏洞
6. 時常備份數(shù)據(jù)庫等重要文件防止糟糕的事情發(fā)生重裝系統(tǒng)
7. 需要保持日常維護(hù)，并注意服務(wù)器中是否有來歷不明的可執(zhí)行腳本文件8.采用白名單機(jī)制上傳文件，不在白名單內(nèi)的一律禁止上傳，上傳目錄權(quán)限遵循最小權(quán)限原則

到了這里，關(guān)于運(yùn)維圣經(jīng)：Webshell應(yīng)急響應(yīng)指南的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！