从入侵排查中发现的主要WEB后门扫描工具无法识别的WebShell

主要扫描工具无法识别的强大WebShell
最新推荐文章于 2024-11-11 11:09:29 发布
原创 最新推荐文章于 2024-11-11 11:09:29 发布 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Webshell #绕过 #后门 #入侵排查

背景:早上发现安全监控系统告警,某服务器存在Webshell

访问这个后门(shopex4s7.php),吓我一跳,我胆小啊:

查看该后门创建及访问时间:

锁定攻击ip与访问时间,发现了另一个新的后门链接:

接着溯源发现攻击者通过某个富文本编辑器上传的后门,备份清理后门,堵上漏洞。。。。

重点来了:

访问该大马anchor.php,功能很强大:

问题是,主机入侵检测系统(HIDS)竟然没扫出这个后门,而且就在前一天我用深信服的WebshellKill工具也都没扫出来。

下载这个后门研究一下:

1、先用深信服的工具扫描:

2、再用D盾扫描,只扫出了1个:

开始分析anchor.php:

代码如下:

该脚本大致逻辑:

0x01:先用str_rot13()对后门脚本进行编码,再用unpack进行HEX转码得到一长串字符串$str。

0x02: 再用str_rot13()和pack()对Str进行复原,得到$str源码。

0x03:最后用eval()执行复原的代码

最后把$str的源码写入脚本anchor_src.php,使用360杀毒扫描如下:

总结:深信服webshellkill、360杀毒、D盾 Webshell规则库都不能识别该后门(anchor.php)。

最后发现该后门实际上应该 Spider PHP Shell (SPS-3.0) ,然后做了隐藏,且功能非常强大,通过该后门能干的事很多。

Web后门工具weevley
zhaji001
10-29 786
weevley简介 Weevely是一款开源项目.只支持(PHP) Webshell,可以模拟类似Telnet的连接,Weevely支持HTTP和SOCKS代理并使用Tor匿名网络。开源 https://github.com/epinna/weevely3 演示 靶机 dvwa  Vulnerability: File Upload low 生成后门 weevely generate ...
应急响应-主机后门webshell排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门
告白的博客
08-04 2240
思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考。针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查后门位置,以及排查对外连接,端口使用情况等等。借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等。linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等。映像劫持,隐藏账户,均可借助工具查看,
全自动Web后门扫描(转)
weixin_34146986的博客
01-09 374
阅读目录 工具介绍 使用方法   工具介绍 这是一款全自动Web后门查杀工具,基于Python开发 某些较新的后门可能会查杀失败 规则列表来自seay博客 回到顶部 使用方法 1.按恶意代码查杀: python Scan_webshell.py 目录名 2.按修改时间查杀: python Scan_webshell.py 目录名 修改时间(格式:"2016-01-...
Webshell木马查杀排查
为了生活,不得不努力奋斗!
01-29 594
Webshell木马查杀排查
【应急响应】webshell排查与处置
qinjilll的博客
09-09 2114
WebshellWeb 安全领域中极为常见且危险的攻击手段,及时有效地识别和处理 Webshell 对于防止攻击者进一步控制系统至关重要。在应急响应中,区分有文件落地和无文件落地的 Webshell 类型,并采取相应的处置措施,不仅能够快速恢复系统,还可以防止攻击者留下的后门对系统进行二次利用。通过加强系统的日常防护,定期进行漏洞扫描和权限审计,可以有效减少 Webshell 攻击的风险。
基于模式匹配的Webshell扫描工具
webshell_scanner”是一个专注于检测Webshell恶意脚本的安全工具主要用于识别隐藏在Web服务器上的ASP、PHP、JSP等类型的后门文件。该工具的核心机制是基于“模式匹配”的检测方式,即通过预定义或用户自定义的...
PHP后门扫描与源码安全检测工具
“PHP后门扫描”和“Webshell检测”属于核心功能模块,说明其主要面向基于PHP构建的Web应用环境,如WordPress、Discuz!、dedeCMS等常见内容管理系统。“源码安全检测”与“代码审查”则体现了其采用静态分析技术的...
ASP版WebShell扫描查询工具 v1.0
WebShell扫描查询工具ASP版 v1.0”是一款基于ASP(Active Server Pages)技术开发的轻量级在线安全检测工具主要用于网站服务器环境中的恶意文件排查与安全隐患识别。该工具的核心功能是通过遍历指定目录下的文件...
Webshell扫描工具助力网站安全检测
“网站恶意网页木马扫描Webshell_Scanner.rar”是一款专为网络运维人员设计的安全检测工具,其核心功能是识别和清除部署在Web服务器上的恶意脚本,特别是Webshell后门程序。该工具以独立可执行文件...
应急响应-网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析
SuperherRo的博客
04-03 2145
网站入侵篡改防范应对指南 主要需了解:异常特征,处置流程,分析报告等 主要需了解:日志存储,Webshell检测,分析思路等
php在线查杀扫描webshell后门 对接WEBDIR+ Api
10-04
使用PHP对接百度 WebDir在线查杀接口 作者来源:https://mubaisu.com/webdir.html 并处理判断返回结果,使在线查杀文件不在是梦想~ 无需任何扩展和依赖限制 只要你服务器可以跑php 缺点:每次查杀都需要上传文件到WebDir 并等待返回结果 速度比较慢 需要耐心等待 优点:Api 免费 并且不限制上传文件数量。 WEBDIR+采用先进的动态监测技术,结合多种引擎零规则查杀,低误报、高查杀率。 Html Gui界面使用bootstrap 自适应
webshell查杀——玄机靶场
weixin_47472573的博客
11-10 1200
玄机靶场webshell查杀
排查webshell的几种方式
最新发布
2301_80217770的博客
11-11 812
如何排查webshell
玄机——第一章 应急响应-webshell查杀 wp(手把手保姆级教学)
焦虑的焦虑
06-07 1万+
第一章 应急响应-webshell查杀 wp
应急响应-web后门(中间件)的排查思路
告白的博客
08-06 2283
分析思路:推荐D,河马客户端查杀出木马文件,通过文件范围内日志的字符查询定位(notepad),日志中获取访问者ip,再通过ip定位查询日志内信息(阿里云在线查杀效果最好,但文件大小有限制:)iis日志地址:inetput/logs/LogFiles/W3VC5(确认对网站的id数查询对应日志,下面对应每天产生的单个日志文件)分析思路:iis日志地址固定,一个网站对应一个id日志,分析日志定位到目录扫描行为,发现相关漏sqlmap等指纹。语言,数据库,中间件,系统环境等。1.利用时间节点筛选日志行为。
【转】Webshell入侵检测初探
tpriwwq的专栏
06-13 1987
0×01:Webshell简介 攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命...
网络安全-webshell详解(原理、攻击、检测与防御)
热门推荐
关注网络安全、云原生安全
09-14 8万+
简介 原理 攻击 WebShell管理工具 Cknife中国菜刀 antSword中国蚁剑 冰蝎动态二进制加密网站管理客户端 weevely3Weaponized web shell Altmanthe cross platform webshell tool in .NET Webshell SniperManage your website via terminal quasibotcomplex webshell manager, quasi-http botne...
如何发现隐藏的Webshell后门
weixin_43977912的博客
02-24 487
那么多代码里不可能我们一点点去找后门,另外,即使最好的Webshell查杀软件也不可能完全检测出来所有的后门,这个时候我们可以通过检测文件的完整性来寻找代码中隐藏的后门。 文件MD5校验 绝大部分软件,我们下载时都会有MD5文件,这个文件就是软件开发者通过md5算法计算出该如软件的“特征值”,下载下来后,我们可以对比md5的值,如果一样则表明这个软件是安全的,如果不一样则反之。 Linux中有一个命令:md5sum可以查看文件的md5值,同理,Windows也有命令或者工具可以查看文件的md5值 Diff命
Windows应急响应--网站被入侵后的排查【跟随安全狍老师学习总结】
2201_75866896的博客
07-05 924
学习安全狍老师的小笔记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值