媒介
webshell在应急中占了很大的比例,本篇文章就来看看当遇到webshell时如何举行应急响应。
Webshell通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵一个网站后,通常会将Webshell后门文件与网站服务器Web目次下正常的网页文件混在一起,利用浏览器或专用客户端举行毗连,从而得到一个服务器操作环境,以到达控制网站服务器的目的。
造成webshell的缘故原由
1)体系中存在任意文件上传
2)反序列化毛病
3)命令执行
4)SQL注入
等等
webshell告警方式
1)HIDS(主要)
2)日记异常告警
3)流量检测设备
通例处理方式
在我们发现webshell的告警时,可以按照下面的步骤举行处理。
1)确认告警内容
根据告警内容,判断本次告警是否误报以及其影响范围。
判断的依据主要就是文件的内容。
2)确认入侵时间以及上传文件内容
通过在网站目次中发现的Webshell文件的创建时间,判断攻击者实行攻击的时间范围,以便后续依据此时间举行溯源分析、追踪攻击者的活动路径。
拿到上传的文件名,后续可根据该文件名查找攻击者的访问记录。
3)web日记分析
对访问网站的Web日记举行分析,重点关注已知的入侵时间前后的日记记录,从而寻找攻击者的攻击路径,以及所利用的毛病。
根据文件名查找访问记录以及可疑的IP,在根据IP去查找其它的访问记录。
4)找到毛病点
通过日记中发现的问题,针对攻击者活动路径,可排查网站中存在的毛病,并举行分析。
5)毛病复现
对已发现的毛病举行毛病复现,从而还原攻击者的活动路径。
6)毛病修复
清除已发现的Webshell文件,并修复毛病。为避免再次受到攻击,网站管理员应定期对网站服务器举行全面的安全检查,实时安装相干版本补丁,修复已存在的毛病等。
常用webshell扫描工具
D盾
下载方式:D盾防火墙
D盾是如今流行的Web查杀工具,利用方便,包罗如下功能:
(1)Webshell查杀、可疑文件隔离;
(2)端口进程查看、base64解码,以及克隆用户检测等;
(3)文件监控。
河马Webshell查杀
河马Webshell查杀拥有海量Webshell样本和自主查杀技能,接纳传统特征+云端大数据双引擎的查杀技能,支持多种操作体系。
火绒安全软件--木马病毒查杀工具
下载地点:火绒安全
webshell应急常用命令
查找相干的文件
- find ./ -name "*.php"|xargs grep "move_upload_file" 查找PHP中具有上传的文件
- find /var/www/ -name "*.php" |xargs egrep 'assert|phpspy|eval' 查找具有命令执行的php文件
- find /var/www -ctime 0 查找web目录下当天创建的所有文件
一般可以从web访问日记中找到入侵的蛛丝马迹
- 查询某个IP访问了那些页面:grep ^111.111.111.111 log_file| awk '{print $1,$7}'
- 查询访问某个页面的IP:grep "878134c1.php" access_log | awk '{print $1}'|sort -n |uniq
- 查看当天有多少个IP访问:awk '{print $1}' access_log |sort|uniq -c|wc -l
- 查看某一个页面别访问的次数:grep "/index.php" log_file | wc -l
- 列出当天访问次数最多的IP:cut -d- -f 1 log_file|uniq -c | sort -rn | head -20
- 将某个IP访问的页面数进行从小到大排序:awk '{++S[$1]} END {for (a in S) print S[a],a}' access_log | sort -n
在应急响应时,首先应判断体系是否存在植入Webshell的可能。根据变乱发生的时间举行排查,对攻击路径举行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站(如博彩网站、色情网站等)的环境,应首先排查网站首页相干js,查看是否被植入了恶意跳转的js。若网站首页被篡改或有其他被攻击的现象,则应根据网站程序信息,如程序目次、文件上传目次、war包部署目次,利用工具(如D盾)和搜索关键词(如eval、base64_decode、assert)方式,定位到Webshell文件并清除。然后根据日记举行溯源分析,同时除了举行Web应用层排查,还应对体系层举行全面排查,防止攻击者在获取Webshell后执行了其他的权限维持操作。可以从以下几个方向举行开端排查,分别包括Webshell排查、Web日记分析、体系排查、日记排查、网络流量排查。末了举行清除加固。
1)预判告警真实性
收到HIDS的告警,机器上存在webshell文件,应急职员应首先判断告警的真实性
打开该文件发现存在eval函数并执行了命令,判断是真实的后门告警
2)获取相干信息
从该告警中可以获取到的信息:
1)时间:2024-07-26 02:21:34
2)后门文件地点位置:/xxxxx/xx.php
3)web日记排查
接下来必要对web日记举行排查,以查找攻击路径及失陷愿意缘故原由。
常见日记文件路径如下
首先根据文件名称举行查找相干的访问记录
find . *.log|xargs grep xx.php
在根据查找的IP排查相干的访问记录,看是否能找到相应的入侵点。
可以根据发现Webshell的时间、体系异常的时间或Webshell查杀工具定位到木马的时间对相干时间段日记举行分析。
最终发现了毛病点,为体系内存在上传毛病
4)体系排查
攻击者上传Webshell后,通常还会执行进一步的操作,如提权、添加用户、写入体系后门等,实现持久化驻留。因此,还必要对体系举行排查,主要排查内容如下。
(1)用户信息排查利用【cat/etc/passwd】命令,可查看体系用户信息,与管理员确认是否存在未知新增用户。发现未知admin用户,具备root权限,因此必要举行重点排查。
排查中必要关注UID为0的用户,因为在一般环境下只有root用户的UID为0,其他用户的UID如果设置为0,即拥有root权限,必要重点排查。但必要注意的是,UID为0的用户也不愿定都是可疑用户,如Freebsd默认存在toor用户,且UID为0,toor 在BSD官网的解释为root替代用户,属于可信的。
(2)进程、服务、网络毗连排查
(1)在Linux体系中,可以利用【ps aux】命令查看体系进程
webshell应急案例
应急响应-Webshell-典范处理案例_webshell攻击怎么处理-CSDN博客
应急响应-网站入侵篡改指南&Webshell内存马查杀&毛病排查&时间分析_内存马查杀工具-CSDN博客
Webshell处理最佳实践-阿里云开辟者社区
专注分享安全知识和在工作中遇到的一些问题,大家可以关注一下我的微信公众号,一同进步,谢谢大家!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
