【应急响应】webshell的排查与处置

原创 已于 2024-09-09 10:05:11 修改 · 1.8k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2024-09-09 10:04:43 首次发布

❤️博客主页 iknow181
🔥系列专栏 网络安全、 PythonJavaSEJavaWebCCNP
🎉欢迎大家点赞👍收藏⭐评论✍

在这里插入图片描述

引言

Webshell 是攻击者入侵 Web 服务器后常用的远程控制工具,它通过一段恶意代码,允许攻击者在服务器上执行命令、操作文件,甚至进一步提升权限。Webshell 的存在意味着服务器已经被攻陷,是安全应急响应中的一个关键问题。在这篇文章中,我们将深入探讨如何识别、分析和处理 Webshell,并区分有文件落地和无文件落地的 Webshell 处置方法。

Webshell 的两种类型

  1. 有文件落地的 Webshell:攻击者通过文件上传、文件包含漏洞等方式,将恶意代码文件(例如 .php, .jsp, .asp 等)上传到服务器。该文件允许攻击者通过浏览器远程执行命令,常见的 Webshell 工具有 China Chopper、C99 等。
  2. 无文件落地的 Webshell:攻击者无需在服务器上上传文件,而是通过漏洞利用直接在内存中执行代码,如反序列化漏洞、内存注入等方式。这类 Webshell 难以通过常规的文件扫描工具发现,因为没有留下文件。

1. 如何识别 Webshell

在应急响应中,快速准确地识别 Webshell 是关键,以下几种方式可以帮助你找到潜在的 Webshell:

1.1 文件分析
  • 文件扫描:利用安全工具扫描 Web 目录,寻找可疑的脚本文件。这些文件通常具备异常的文件名、最近修改时间与访问日志不匹配等特征。
  • 可疑代码模式:Webshell 通常具备执行系统命令、文件管理等功能,包含系统调用函数,如 eval()exec()system()passthru() 等。
  • 隐藏文件:有时 Webshell 可能伪装成图片文件、配置文件等,注意检查文件扩展名是否与内容不符,例如 .jpg 实际是 PHP 代码。
1.2 日志分析
  • Web 访问日志:分析 Web 服务器日志,寻找异常的 POST 请求或访问方式。例如,上传 Webshell 后,攻击者通常会通过 HTTP POST 请求传递命令。
  • 异常用户活动:监控管理员账户的异常登录行为,排查是否有暴力破解、暴露凭据或盗用会话的情况。
1.3 内存与进程分析
  • 进程监控:通过监控服务器上正在运行的进程,寻找异常的命令执行记录(如通过 Webshell 执行的命令)。
  • 内存分析:如果是无文件落地的 Webshell,可以对服务器进行内存转储并分析,寻找异常的代码执行痕迹。

2. 如何处置 Webshell

2.1 有文件落地的 Webshell 处置

当攻击者上传了实际的 Webshell 文件后,应采取以下步骤进行处置:

  • 隔离系统:立即将受感染的系统从网络中隔离,避免攻击者通过 Webshell 进一步控制服务器。
  • 查找 Webshell 文件:利用安全扫描工具或手工查找方式,定位并确认 Webshell 文件的位置。
    • 通过文件名、修改时间查找:通过文件列表中异常文件名或最近修改时间来筛选出可疑文件。
    • 代码分析:对 Webshell 文件进行代码分析,确定其功能和危害程度。一般 Webshell 包含命令执行、文件管理、数据库操作等模块。
  • 删除恶意文件:确认 Webshell 文件后,立即删除,并查找备份或缓存中是否存在此文件的副本。
  • 修补漏洞:检查 Web 应用中允许攻击者上传或包含 Webshell 的漏洞(如文件上传漏洞、代码注入等),并立即修复。
  • 审计日志:通过 Web 访问日志和系统日志,确认攻击者的活动轨迹,评估攻击范围及影响。
2.2 无文件落地的 Webshell 处置

无文件落地的 Webshell 依赖于漏洞利用,攻击者不需要上传实际文件,而是在内存中直接执行恶意代码。此类 Webshell 隐蔽性更强,处理也更具挑战性:

  • 流量监控:通过网络流量监控,检查服务器的异常流量模式。攻击者使用 Webshell 通常会有持续的远程命令执行或反向连接流量。
  • 漏洞修复:针对利用无文件落地 Webshell 的漏洞(如反序列化漏洞、内存注入等),尽快修复 Web 应用中的安全问题,阻止攻击者的后续利用。
  • 内存取证:对服务器内存进行取证分析,找出当前正在运行的恶意代码。如果已经发现异常流量或行为,可以使用内存转储工具抓取内存快照,并进行进一步分析。
  • 服务重启:在修复漏洞并确认安全后,建议重启受感染的服务或整个服务器,清除内存中的恶意代码。

3. 后续防护措施

发现并清理 Webshell 后,还需采取一系列措施来避免再次发生同样的攻击,并加强系统的整体安全性。

3.1 补丁管理
  • 确保服务器、操作系统和 Web 应用的安全补丁已更新到最新版本,及时修补已知漏洞。
3.2 权限管理
  • 限制文件上传功能:严格控制上传文件的权限,确保上传的文件不能被直接执行或访问。
  • 目录权限控制:通过文件系统权限管理,限制 Web 应用程序对服务器文件系统的访问权限,降低攻击者利用 Webshell 操作文件的风险。
3.3 加强日志与监控
  • 实时日志监控:通过设置实时日志监控系统,及时发现可疑活动,如异常登录、频繁 POST 请求、敏感文件被访问等。
  • 入侵检测系统 (IDS/IPS):部署入侵检测和防护系统,及时发现和阻止 Webshell 攻击行为。
3.4 定期安全扫描
  • 通过自动化安全扫描工具定期检查 Web 应用中的漏洞,及时发现潜在风险,防患于未然。

结论

Webshell 是 Web 安全领域中极为常见且危险的攻击手段,及时有效地识别和处理 Webshell 对于防止攻击者进一步控制系统至关重要。在应急响应中,区分有文件落地和无文件落地的 Webshell 类型,并采取相应的处置措施,不仅能够快速恢复系统,还可以防止攻击者留下的后门对系统进行二次利用。通过加强系统的日常防护,定期进行漏洞扫描和权限审计,可以有效减少 Webshell 攻击的风险。

在这里插入图片描述

网络安全从入门到精通(特别篇V):应急响应webshell处置流程
HACKONE的博客
04-10 236
Webshell指的是以JSP PHP ASP等网页脚本形式存在的一种服务器可执行文件 一般带有文件操作 命令执行功能 是一种网页后门。
应急响应篇】Webshell应急响应指南
大河之犬的博客
04-20 1976
或者将当前网站目录文件此前备份文件进行比对,查看是否存在新增的不一致内容,确定是否包含 Webshell 相关信息,并确定 Webshell 位置及创建时间。通过在网站目录中发现的 Webshell 文件的创建时间,判断攻击者实施攻击的时间范围,以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。通过日志中发现的问题,针对攻击者活动路径,可排查网站中存在的漏洞, 并进行分析(主要分析什么漏洞导致的webshell攻击)对已发现的漏洞进行漏洞复现,从而还原攻击者的活动路径。
玄机——第一章 应急响应-webshell查杀 wp(手把手保姆级教学)
焦虑的焦虑
06-07 1万+
第一章 应急响应-webshell查杀 wp
从入侵排查中发现的主要WEB后门扫描工具无法识别的WebShell
SecGuard
06-20 1011
背景:早上发现安全监控系统告警,某服务器存在Webshell 访问这个后门(shopex4s7.php),吓我一跳,我胆小啊: 查看该后门创建及访问时间: 锁定攻击ip访问时间,发现了另一个新的后门链接: 接着溯源发现攻击者通过某个富文本编辑器上传的后门,备份清理后门,堵上漏洞。。。。 重点来了: 访问该大马anchor.php,功能很强大: 问题是,主机入侵检测系...
Webshell收集防御实战项目
最新发布
weixin_42591908的博客
05-19 1000
Webshell是一种隐藏在Web服务器中的脚本后门,它允许攻击者远程控制被攻陷的服务器。Webshell的使用跨越了多种领域,从安全测试、网站维护到不法侵入等。在安全领域,Webshell常用于网站安全审核,通过反向工程手段,可以分析潜在的服务器风险。而在负面用途中,它则是黑客攻击者最倚重的工具之一,用以维持对系统的持续非法控制,进而盗取数据、破坏服务器或作为进一步攻击的跳板。随着Web技术的发展,Webshell的形态和功能也在不断进化。
防范WEB SHELL(整理文) 转至黑狐和流浪的家
FreeXploiT
02-27 2080
http://fox.he100.com/showart.asp?art_id=122&cat_id=1防范WEB SHELL(整理文)防范WEB SHELL(整理文) 做了1年时间的虚拟主机管理员,大概对NT下的WEB SHELL的防范也有一定的了解。现在通过整理一些高手的文章来说说如何防范WEBSHELL。常见的WEBSHELL也就是ASP,PHP,PERL,这些脚本写成的。市
Webshell木马查杀排查
为了生活,不得不努力奋斗!
01-29 559
Webshell木马查杀排查
运维圣经:Webshell应急响应指南
qq_61553520的博客
06-14 2038
Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵网站后,通常会将Webshell后门文件网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,以达到控制网站服务器的目的。
排查webshell的几种方式
2301_80217770的博客
11-11 726
如何排查webshell
应急响应-主机后门webshell排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门)
告白的博客
08-04 2116
思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考。针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查出后门位置,以及排查对外连接,端口使用情况等等。借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等。linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等。映像劫持,隐藏账户,均可借助工具查看,
网络安全——应急响应之Windows入侵排查
CoffeMilk的博客
11-08 1031
网络安全所说的应急响应(Emergency Response)通常是指在突发事件发生后,为了减少损失和危害,迅速采取的一系列应对措施,保护生命财产安全,恢复正常秩序的过程。这里说的突发事件特指:影响系统(包含服务器主机和操作系统、网络范围)正常工作的情况(如:黑客入侵服务器、黑客劫持服务器、病毒爆发、系统异常宕机、应用服务瘫痪、信息窃取、DDOS攻击、网络流量异常等内容)
安全服务】应急响应1:流程、排查分析
热门推荐
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
1、应急响应-网站入侵检测&访问日志&漏洞排查&Webshell内存马查杀
m0_65842464的博客
01-22 1413
针对网页篡改Web后门攻击应对措施: 基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。 如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为 如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击 如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击
Webshell检查思路
m0_62207482的博客
04-13 592
Webshell总 有一个HTTP请求,如果我在网络层监控HTTP,并且检测到有人访问了一个从没反问过得文件,而且返回了200,则很容易定位到webshell,这便是http异常模型检测,就和检测文件 变化一样,如果非管理员新增文件,则说明被人入侵了。静态检测通过匹配特征码,特征值,危险函数函数来查找webshell的方法,只能查找已知的webshell,并且误报率漏报率会比较高,但是如果规则完善,可以减低误报率,但是漏报率 必定会有所提高。还有`phar <?php XXXXX`寻找webshell
WebShell(脚本木马)查杀思路
Arno2013的专栏
02-09 3490
0x1、介绍         在web服务器上留下一个WEBSHELL后门是黑客最常见的留后门方法,传统意义上的系统后面,在各种云查杀的追缴下,基本上已经毫无出路(某些特殊工具除外),所以WEBSHELL最为一个最经济、方便、稳定的后门,已经是黑客的不二选择,站长们,你们的web上有后门吗? 0x2、查杀思路     WEBSHELL一般是脚本代码,ASP、ASPX、PHP、JSP、
网站安全漏洞测试之CMS上传sql注入攻击
网站安全专家
06-03 1239
近日,我们SINE安全在对某客户的网站进行网站漏洞检测修复发现该网站存在严重的sql注入漏洞以及上传webshell网站木马文件漏洞,该网站使用的是某CMS系统,采用PHP语言开发,mysql数据库的架构,该网站源码目前是开源的状态。 某CMS是专注于提供付费知识的社交CMS系统,知识付费在目前的互联网中有这很高的需求,该系统可以对文档进行分享,收费下载,用户发布的知识内容可以隐藏,提供给...
阿里云发现后门webshell,怎么处理,怎么解决?
护卫神的博客
01-08 975
当收到如下阿里云通知邮件时,大部分管理员都会心里一惊吧!出现Webshell,大概是网站被入侵了。那么如何处理呢?
阿里云提醒 网站被WebShell木马后门的处理过程
网站安全专家
01-10 6874
昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站木马文件的路径地址:/www/wangzhan/safe/indnx...
应急响应-网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析
SuperherRo的博客
04-03 1910
网站入侵篡改防范应对指南 主要需了解:异常特征,处置流程,分析报告等 主要需了解:日志存储,Webshell检测,分析思路等
安全事件应急响应Webshell查杀系统入侵排查
"应急响应 网络安全 webshell查杀" 本文主要介绍了如何进行webshell查杀以及在Linux系统中的应急响应措施。Webshell是一种恶意代码,通常由黑客植入,以便远程控制受感染的服务器。在应对这类安全事件时,及时的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iknow181

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值