Webshell处置最佳实践

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 防病毒版,最高20核 3个月
简介: 适用场景在云安全中心告警中主机上检出Webshell时,如何处置,以及通过信息简要分析入侵途径。Web场景实战一、确认Webshell事件Webshell根据功能和大小,主要分为两类,一类是小马,一类是大马。Web小马主要以一句话木马居多,一句话木马一般是以执行代码的函数+可以自定义内容参数为主,黑...

适用场景

在云安全中心告警中主机上检出Webshell时,如何处置,以及通过信息简要分析入侵途径。image.png

场景实战

一、确认Webshell事件

Webshell根据功能和大小,主要分为两类,一类是小马,一类是大马。

小马主要以一句话木马居多,一句话木马一般是以执行代码的函数+可以自定义内容参数为主,黑客通过客户端配合,控制可执行命令函数的具体参数内容达到目的。

小马

例如:

PHP小马 a.php

<?php eval($_GET['pass']);?>

该小马通过取pass参数的值,再传入eval参数进行执行,来达到执行系统命令的目的。

例如:http://yoursite/a.php?pass=system('cat /etc/passwd'); ,即通过让php的system()函数执行了系统命令 。

image.png

大马

大马则包含常见完整的模块,例如命令执行,数据库连接,文件管理等等模块,一般会包含一个密码,通过浏览器访问即可完成各种后续动作。image.png

大马以及相关的变形文件,可以在一些github项目中非常容易找到,这里不做具体举例和分析。

通过以上特征加上对业务的了解,基本上可以确认是否被写入了Webshell。

二、判断Webshell来源

Webshell大多数情况下是因为Web应用存在漏洞,导致被利用进而植入Webshell。但也可能是主机运维通道弱口令,例如业务是通过ftp直接上传Web文件,但ftp弱口令或者空口令;其它还可能是ssh 弱口令,mysql弱口令等。

一般通过以下方法来判断来源和可能利用的漏洞:

  1. 判断Webshell文件的所有者,原理文件写入的进程会继承运行或者启动该进程的用户身份。例如下图a.php小马文件拥有者www用户,而www用户是Webserver和中间件的服务账号。由此可以判断该Shell是通过Web应用漏洞利用后写入。如果文件拥有者是ftp等其他服务账号,同理可推断写入途径。image.pngwww用户为nginx和php-fpm的服务账号image.png

  2. 根据Webshell路径推断漏洞模块

    1. 通常Webshell文件出现在站点的upload目录,image,file等存放用户上传文件的目录,一般是Web应用没有对上传文件内容或者类型进行检查或者限制。

    2. 如果Webshell文件出现在根目录或者其它无规律的目录,则可能是因为一些远程命令执行类的漏洞,结合云安全中心的风险管理-漏洞管理 中的应用漏洞或者应急漏洞扫描结果,看是否存在此类漏洞,基本可以判断。image.png

    3. 如果文件拥有者是root,mysql,或者其它可登录用户,则可能是因为弱口令被黑客爆破或者撞库非法登录,可以使用云安全中心 风险管理-基线检查 扫描一下看看是否存在弱口令。image.png

三、清理Webshell文件

  1. 如果Webshell是独立文件,可以手动删除或者直接通过云安全中心的告警处置,通过隔离动作进行处置image.png通过处置执行隔离image.png

  2. 如果是正常文件中被插入了恶意代码,则需要通过人工处置,手工删除文件中的恶意代码。这块需要对业务代码有一定了解,不做深入介绍。

四、安全加固

根据Webshell的植入来源,针对对应漏洞进行加固即可

  1. 该服务器对应有高危的漏洞,特别是远程命令执行,getshell的应用漏洞和应急漏洞要及时进行修复。在云安全中心 风险管理-漏洞管理 应用漏洞和应急漏洞中查看漏洞信息image.png

  2. 如果软件为第三方ISV进行开发,当前没有修复能力,可以使用对应的安全产品进行防护。Web应用类漏洞可以使用阿里云WAF接入进行漏洞防护:WAF相关的接入和配置可以参考:https://help.aliyun.com/document_detail/162902.html

  3. 如果是因为弱口令,在修改为更强密码的同时,建议评估该服务是否有必要开放在公网。若是ssh类运维通道,必须要开放在公网的,建议通过堡垒机登录,如果没有堡垒机,修改默认的服务端口也能在很大程度上避免网络上自动化爆破或者撞库工具。确认该服务器的暴露面,可以从云安全中心-资产暴露分析中查看image.png

相关文章
|
7月前
|
安全 网络安全 数据库
Web安全防护的必要性与漏洞扫描技术
随着互联网的发展,Web应用程序的使用越来越广泛,但也带来了越来越多的安全威胁。因此,Web安全防护变得越来越重要。本文将介绍Web安全防护的必要性,并详细介绍各种漏洞扫描技术,以帮助您保护Web应用程序的安全。
209 2
|
5月前
|
安全 前端开发 PHP
EdgeOne安全专项实践:上传文件漏洞攻击详解与防范措施
通过本文,我们深入探讨了文件上传漏洞攻击的多种案例和防范措施,以及在搭建攻击靶场时的实际操作。从前端和后端的校验漏洞,到利用Apache配置文件和文件包含漏洞的攻击方式,每一步都展示了安全防护的重要性。 在学习和实践过程中,我们不仅仅关注如何进行攻击,更着重于如何保护自己的服务器免受此类攻击。我们使用了EdgeOne作为一个解决方案的示例,展示了如何利用其提供的防护规则来有效防御文件上传漏洞。 无论是在靶场搭建过程中的细节操作,还是在攻击案例的分析过程中,安全意识和防护措施的实施都显得至关重要。通过本文,希望读者能够更深入地理解和应用这些安全原则,以保护自己的网络和服务器免受攻击的威胁。
|
7月前
|
机器学习/深度学习 监控 安全
安全防御之安全审计技术
安全防御中的安全审计技术是保障信息系统安全的重要手段之一。其主要目标是对信息系统及其活动进行记录、审查和评估,以确保系统符合安全策略、法规要求,并能够及时发现潜在的安全风险和异常行为。通过安全审计,可以对系统中的各种活动进行记录、检测和监控,以发现潜在的安全风险和威胁,并及时采取相应的措施进行防范和处理。
94 0
|
供应链 安全 物联网
漏洞挖掘和安全审计的技巧与策略
漏洞挖掘和安全审计是保护信息安全的重要环节。通过适当的技巧和策略,我们可以发现并解决系统中的安全漏洞,降低潜在威胁。随着技术的不断发展,我们需要不断学习和适应新的挑战,以构建更安全的数字化世界。
328 0
|
开发框架 监控 安全
攻防演练|RASP让WebShell攻击破防了
WebShell 是一种通过浏览器来进行交互的Shell,而且是黑客通常使用的一种恶意脚本,通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络,然后安装 WebShell ,攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒,危害极大。而且, WebShell 隐蔽性极强,传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的 WebShell 类型以及 RASP 如何对其进行防御。
275 0
攻防演练|RASP让WebShell攻击破防了
|
监控 安全 druid
如何强化应用安全能力,全面拦截 Log4j 漏洞攻击
「ARMS应用安全」为企业业务安全保驾护航!
如何强化应用安全能力,全面拦截 Log4j 漏洞攻击
|
SQL 自然语言处理 监控
网站代码漏洞审计 白盒渗透测试详情
网站白盒渗透测试中要测试的内容非常多,总算赶到了代码审计这一点。期待看过的朋友有一定的感悟,大伙儿通常把代码审计分成黑盒和白盒,大伙儿通常相结合在一起用。平常大家在白盒审计上有多种多样方式,比如一些常见的危险代码函数或执行函数,以及上传漏洞绕过,命令执行反序列化等这些漏洞,总体来讲我们可以梳理为:1.细读全篇 2.追踪.
227 0
网站代码漏洞审计 白盒渗透测试详情
|
SQL 开发框架 安全
网站漏洞修复方案防止SQL注入攻击漏洞
SQL注入漏洞在网站漏洞里面属于高危漏洞,排列在前三,受影响范围较广,像asp、.net、PHP、java、等程序语言编写的代码,都存在着sql注入漏洞,那么如何检测网站存在sql注入漏洞?
223 0
网站漏洞修复方案防止SQL注入攻击漏洞
|
安全
漏洞扫描风险的处理方法有哪些?
您可以在漏洞扫描系统的风险页面查看检测发现的漏洞和内容风险详情并进行处理。
1635 0
|
Web App开发 安全 算法
微软再爆IE 0day漏洞 绿盟科技提供预警及防护手段
继今年1月14日微软IE浏览器曝出“Aurora”0day漏洞而引发了大规模的挂马攻击后,昨日微软IE浏览器再次爆出严重级别的0day漏洞(Microsoft IE畸形对象操作内存破坏漏洞CVE-2010-0806),受影响的IE浏览器版本包括IE7.0、IE6.0 SP1、IE6.0等几乎所有主流版本。
999 0