基本信息

webshell通常指JSP、ASP、PHP等網(wǎng)頁腳本文件形式存在的一種服務(wù)器可執(zhí)行文件，是一種網(wǎng)頁后門，攻擊者入侵后，通常將后門文件網(wǎng)站服務(wù)器Web目錄下正常的網(wǎng)頁文件混在一起，使用瀏覽器或?qū)Ｓ每蛻舳诉M(jìn)行連接得到了服務(wù)器操作環(huán)境，達(dá)到控制網(wǎng)站的目的。

常見的webshell腳本

php:
<?php
	$a=exec($_GET["input"]);
	echo $a;
?>

jsp:
<%Runtime.getRuntime().exec(request.getParameter("));%>

asp:
<%eval request("cmd")% >

Webshell 的用途

1.站長工具
一般是通過瀏覽器來對網(wǎng)站所在的服務(wù)器進(jìn)行運(yùn)維管理。作用演變?yōu)樵诰€編輯文件、上傳和下載文件、數(shù)據(jù)庫操作、執(zhí)行命令。
2.持續(xù)遠(yuǎn)程控制
當(dāng)攻擊者通過手段完成Webshell植入時(shí)，為了防止其他攻擊者再次利用，則會(huì)修改網(wǎng)站漏洞，達(dá)到網(wǎng)站被其單獨(dú)、持續(xù)控制。而Webshell本身所擁有的密碼驗(yàn)證可以確保其在未收到暴力破解工具攻擊下，只能單獨(dú)使用。
3.權(quán)限提升
Webshell的執(zhí)行權(quán)限與web服務(wù)器運(yùn)行權(quán)限息息相關(guān)，當(dāng)前Web服務(wù)器是root權(quán)限 則webshell也是root權(quán)限。一般為普通用戶權(quán)限，為進(jìn)一步控制，采取計(jì)劃任務(wù)、內(nèi)核漏洞等方法來獲取root權(quán)限。
4.極強(qiáng)的隱蔽性

部分惡意網(wǎng)頁腳本可以嵌套在正常網(wǎng)頁中運(yùn)行，且不容易被查殺 ，上傳成功后，被視為所在服務(wù)的一部分，流量傳輸也通過web服務(wù)本身進(jìn)行，所以隱蔽性強(qiáng)。

檢測方法

1）基于流量檢測
基于流量的webshell檢測方便部署，還可通過流量鏡像直接分析原始信息?；趐ayload行為分析，不僅對可知的webshell進(jìn)行檢測，可識別未知、偽裝性強(qiáng)的webshell，對它的訪問特征(IP/UA/Cookie)、payload檢測、path特征、時(shí)間特征，以時(shí)間為索引，可還原攻擊事件。

2）基于文件檢測
我們通過檢測文件是否加密(混淆處理) ，創(chuàng)建Webshell樣本hash庫，可對比分析可疑文件。對文件的創(chuàng)建時(shí)間、修改時(shí)間、文件權(quán)限等進(jìn)行檢測，以確認(rèn)是否為Webshell

3）基于日志檢測
對常見的多種日志進(jìn)行分析，可幫助我們有效識別Webshell的上傳行為等。通過綜合分析，可回溯整個(gè)攻擊過程

初步判斷

1.了解事件表現(xiàn)
1)網(wǎng)頁被篡改、存在非管理員設(shè)置內(nèi)容。
2)出現(xiàn)攻擊者惡意篡改網(wǎng)頁或者網(wǎng)頁被植入暗鏈的現(xiàn)象
3)安全設(shè)備報(bào)警，或被上級部門通報(bào)遭遇webshell。

2.判斷事件發(fā)生時(shí)間
查看webshell的創(chuàng)建時(shí)間，結(jié)合異?，F(xiàn)象發(fā)生的時(shí)間，定位大致的時(shí)間發(fā)生時(shí)間段

3.判斷系統(tǒng)架構(gòu)
查看系統(tǒng)本身是否存在漏洞，包括服務(wù)器、CMS、框架、數(shù)據(jù)庫、腳本語言、業(yè)務(wù)架構(gòu)等

4.臨時(shí)處置
刪除檢測到的Webshell文件，對文件進(jìn)行備份，方便后續(xù)取證溯源。
對系統(tǒng)進(jìn)行隔離，防止影響其他系統(tǒng)的。

Webshell排查

=windows排查=
可利用工具進(jìn)行查詢
D盾掃描，對可疑文件內(nèi)容進(jìn)行審查；端口進(jìn)程查看、base64解碼，以及克隆用戶檢測，文件監(jiān)控。
河馬Webshell查殺擁有海量Webshell樣本和自主查殺技術(shù)，采用傳統(tǒng)特征+云端大數(shù)據(jù)雙引擎的查殺技術(shù)，支持多種操作系統(tǒng)。

Linux

可以使用河馬webshell 查殺工具，也可以手工搜索特征。
利用這個(gè)find命令。

Web日志排查:

Windows:
常見的web中間件默認(rèn)日志路徑:

• Apache:apache\log\error.log、apache\log\access.log
• IIS： C:\inetpub\logs\LogFiles 、 C:\WINDOWS\system32\LogFiles
• Toncat : tomcat\access_log
  要根據(jù)查詢到的webshell文件創(chuàng)建時(shí)間前后搜索并對可疑內(nèi)容做進(jìn)一步分析取證。

Linux

常見的web中間件默認(rèn)日志路徑

• Apache ： /etc/httpd/logs/access_log; /var/log/httpd/access_log
• Nginx: /usr/nginx/logs

同理定位時(shí)間段可疑日志記錄，linux可以使用檢索命令。

系統(tǒng)排查

windows

用戶信息排查

1）用戶排查
net user
2）隱藏用戶排查
lusrvwr.msc
3）克隆用戶排查
注冊表的SAM下查詢F值
4）網(wǎng)絡(luò)連接排查
netstat -ano

進(jìn)程、服務(wù)、啟動(dòng)項(xiàng)排查

1）進(jìn)程

2）服務(wù)排查

3） 任務(wù)計(jì)劃排查

任務(wù)計(jì)劃日志存放于: C:\WINDOWS\System32\Tasks
taskschd.msc //任務(wù)計(jì)劃程序

文件排查：

需要對各個(gè)盤符敏感目錄排查
1）temp相關(guān)目錄
常見路徑：

• C:\Windows\temp
• C:\Users\Administrator\AppData\Local\temp

一般在非系統(tǒng)system32或system64目錄下的svchost.exe基本上都是惡意文件。命名特殊文件也需要重點(diǎn)排查，打開查看內(nèi)容或用威脅情報(bào)/微步等進(jìn)行文件檢測。

2）recent相關(guān)目錄

目錄路徑：

• C:\Documents and Settings\Administrator\recent
• C:\Documents and Settin

Linux

用戶信息排查

 cat /etc/passwd          查看系統(tǒng)用戶信息
 awk -F: '{if ($3==0)print $1}' /etc/passwd      //查看UID為0的用戶
 cat /etc/passwd | grep -v "nologin" | grep -v "false"    //查看能夠登陸的用戶
 awk -F: 'length($2)==0 {print $1}'  /etc/shadow     //查看是否存在空口令用戶

`

進(jìn)程、服務(wù)、網(wǎng)絡(luò)連接排查

 ps aux/ps ef (可查看父進(jìn)程)               //查看系統(tǒng)進(jìn)程
 kill  -9 PID     //結(jié)束PID 對應(yīng)進(jìn)程
 netstat  -antpl       //查看網(wǎng)絡(luò)連接、端口、進(jìn)程以及PID 
 ls -lah  /proc/PID        //根據(jù)PID查看對應(yīng)可執(zhí)行程序
 rm -rf FileName       //刪除進(jìn)程
 如果存在用戶無法刪除，可查看文件是否存在i屬性
 lsatter FileName    //查看文件屬性
 chatter -i FileName     //移除i屬性
 lsof  -p  PID         //查看對應(yīng)可執(zhí)行程序
 lsof -i:port           //查看指定端口對應(yīng)的可執(zhí)行程序
 top                      //查看CPU、內(nèi)存等
 chkconfig   --list     //查看系統(tǒng)運(yùn)行服務(wù)

運(yùn)行級別

0關(guān)機(jī)；1單用戶（找回密碼）；2多用戶無網(wǎng)絡(luò)服務(wù)；3多用戶有網(wǎng)絡(luò)服務(wù)；4保留；5圖形化界面；6重啟
7個(gè)運(yùn)行級別分別對應(yīng)7個(gè)目錄，即/etc/rc[0-6].d就是/rc.d/rc[0-6].d的軟鏈接。
/etc/rc.d下的init.d存放一些腳本，類型Windows注冊表；rc.local文件會(huì)在用戶登錄之前讀取。
因此需要重點(diǎn)關(guān)注這些目錄：

rookit排查

Rootkit自身也是木馬后門或惡意程序的一類，特殊惡意軟件，功能是安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)連接等信息。

日志排查

Windows系統(tǒng)排查

Linux 系統(tǒng)排查
日志位置一般在/var/log目錄下

數(shù)據(jù)庫日志排查

Mysql日志排查
windows

linux

清除加固

1）處置時(shí)先斷網(wǎng)，清理發(fā)現(xiàn)的webshell
2）如果網(wǎng)站被掛黑鏈接或者被篡改首頁，刪除篡改內(nèi)容，審計(jì)源碼
3）系統(tǒng)排查后，及時(shí)清理系統(tǒng)中隱藏的后門及攻擊者操作內(nèi)容，若存咋rootkit類后門，建議重裝系統(tǒng)
4）對排查過程中發(fā)現(xiàn)的漏洞利用點(diǎn)進(jìn)行修補(bǔ)，切斷攻擊路徑，必要時(shí)可以做黑盒滲透測試
5）操作處置完成，重新恢復(fù)網(wǎng)站運(yùn)行

Webshell防御方法

1）配置必要的防火墻，開啟防火墻策略
2）對服務(wù)器進(jìn)行安全加固
3）加強(qiáng)權(quán)限管理，對敏感目錄進(jìn)行權(quán)限設(shè)置，限制上傳目錄的腳本執(zhí)行權(quán)限，不允許配置執(zhí)行權(quán)限
4）安裝webshell檢測工具
5）排查程序存在的漏洞并及時(shí)修補(bǔ)
6）時(shí)長備份數(shù)據(jù)庫重要文件
7）日常維護(hù)
8）采用白名單機(jī)制上傳文件，上傳目錄權(quán)限遵循最小權(quán)限原則文章來源地址http://www.zghlxwxcb.cn/news/detail-521991.html

到了這里，關(guān)于Webshell 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！