Webshell处置最佳实践

本文涉及的产品
云安全中心 免费版,不限时长
简介: 适用场景在云安全中心告警中主机上检出Webshell时,如何处置,以及通过信息简要分析入侵途径。Web场景实战一、确认Webshell事件Webshell根据功能和大小,主要分为两类,一类是小马,一类是大马。Web小马主要以一句话木马居多,一句话木马一般是以执行代码的函数+可以自定义内容参数为主,黑...

适用场景

在云安全中心告警中主机上检出Webshell时,如何处置,以及通过信息简要分析入侵途径。image.png

场景实战

一、确认Webshell事件

Webshell根据功能和大小,主要分为两类,一类是小马,一类是大马。

小马主要以一句话木马居多,一句话木马一般是以执行代码的函数+可以自定义内容参数为主,黑客通过客户端配合,控制可执行命令函数的具体参数内容达到目的。

小马

例如:

PHP小马 a.php

<?php eval($_GET['pass']);?>

该小马通过取pass参数的值,再传入eval参数进行执行,来达到执行系统命令的目的。

例如:http://yoursite/a.php?pass=system('cat /etc/passwd'); ,即通过让php的system()函数执行了系统命令 。

image.png

大马

大马则包含常见完整的模块,例如命令执行,数据库连接,文件管理等等模块,一般会包含一个密码,通过浏览器访问即可完成各种后续动作。image.png

大马以及相关的变形文件,可以在一些github项目中非常容易找到,这里不做具体举例和分析。

通过以上特征加上对业务的了解,基本上可以确认是否被写入了Webshell。

二、判断Webshell来源

Webshell大多数情况下是因为Web应用存在漏洞,导致被利用进而植入Webshell。但也可能是主机运维通道弱口令,例如业务是通过ftp直接上传Web文件,但ftp弱口令或者空口令;其它还可能是ssh 弱口令,mysql弱口令等。

一般通过以下方法来判断来源和可能利用的漏洞:

  1. 判断Webshell文件的所有者,原理文件写入的进程会继承运行或者启动该进程的用户身份。例如下图a.php小马文件拥有者www用户,而www用户是Webserver和中间件的服务账号。由此可以判断该Shell是通过Web应用漏洞利用后写入。如果文件拥有者是ftp等其他服务账号,同理可推断写入途径。image.pngwww用户为nginx和php-fpm的服务账号image.png

  2. 根据Webshell路径推断漏洞模块

    1. 通常Webshell文件出现在站点的upload目录,image,file等存放用户上传文件的目录,一般是Web应用没有对上传文件内容或者类型进行检查或者限制。

    2. 如果Webshell文件出现在根目录或者其它无规律的目录,则可能是因为一些远程命令执行类的漏洞,结合云安全中心的风险管理-漏洞管理 中的应用漏洞或者应急漏洞扫描结果,看是否存在此类漏洞,基本可以判断。image.png

    3. 如果文件拥有者是root,mysql,或者其它可登录用户,则可能是因为弱口令被黑客爆破或者撞库非法登录,可以使用云安全中心 风险管理-基线检查 扫描一下看看是否存在弱口令。image.png

三、清理Webshell文件

  1. 如果Webshell是独立文件,可以手动删除或者直接通过云安全中心的告警处置,通过隔离动作进行处置image.png通过处置执行隔离image.png

  2. 如果是正常文件中被插入了恶意代码,则需要通过人工处置,手工删除文件中的恶意代码。这块需要对业务代码有一定了解,不做深入介绍。

四、安全加固

根据Webshell的植入来源,针对对应漏洞进行加固即可

  1. 该服务器对应有高危的漏洞,特别是远程命令执行,getshell的应用漏洞和应急漏洞要及时进行修复。在云安全中心 风险管理-漏洞管理 应用漏洞和应急漏洞中查看漏洞信息image.png

  2. 如果软件为第三方ISV进行开发,当前没有修复能力,可以使用对应的安全产品进行防护。Web应用类漏洞可以使用阿里云WAF接入进行漏洞防护:WAF相关的接入和配置可以参考:https://help.aliyun.com/document_detail/162902.html

  3. 如果是因为弱口令,在修改为更强密码的同时,建议评估该服务是否有必要开放在公网。若是ssh类运维通道,必须要开放在公网的,建议通过堡垒机登录,如果没有堡垒机,修改默认的服务端口也能在很大程度上避免网络上自动化爆破或者撞库工具。确认该服务器的暴露面,可以从云安全中心-资产暴露分析中查看image.png

相关文章
|
15天前
|
安全 网络安全 数据库
Web安全防护的必要性与漏洞扫描技术
随着互联网的发展,Web应用程序的使用越来越广泛,但也带来了越来越多的安全威胁。因此,Web安全防护变得越来越重要。本文将介绍Web安全防护的必要性,并详细介绍各种漏洞扫描技术,以帮助您保护Web应用程序的安全。
73 2
|
云安全 XML 监控
JSBot无文件攻击,云安全网络全链路防御
近日,阿里云安全监测到一种利用Javascript无文件技术实现C&C通信的新型僵尸网络,其核心交互无文件落盘并由JS加载下载Powershell脚本内存执行各类恶意操作,阿里云安全专家分析发现,该僵尸网络利用永恒之蓝漏洞进行扫描入侵,对主机、用户资产危害极大。
1654 0
JSBot无文件攻击,云安全网络全链路防御
|
15天前
|
PHP
【攻防世界】easyphp(PHP代码审计)
【攻防世界】easyphp(PHP代码审计)
|
15天前
|
机器学习/深度学习 监控 安全
安全防御之安全审计技术
安全防御中的安全审计技术是保障信息系统安全的重要手段之一。其主要目标是对信息系统及其活动进行记录、审查和评估,以确保系统符合安全策略、法规要求,并能够及时发现潜在的安全风险和异常行为。通过安全审计,可以对系统中的各种活动进行记录、检测和监控,以发现潜在的安全风险和威胁,并及时采取相应的措施进行防范和处理。
32 0
|
15天前
|
安全 网络安全 数据安全/隐私保护
探索Web安全:强化防护与漏洞扫描技术
在当今数字化时代,Web安全已经成为企业和个人必须关注的重要问题。本文将介绍Web安全的重要性,以及如何通过强化防护与漏洞扫描技术来保护网站和应用程序的安全。同时,还将探讨一些最新的Web安全威胁和应对策略,帮助读者更好地了解和应对Web安全挑战。
40 0
|
15天前
|
安全 Java Shell
网络安全-webshell详解(原理、检测与防御)
网络安全-webshell详解(原理、检测与防御)
350 0
|
15天前
|
SQL 安全 网络安全
抵御时代风险:高级安全策略与实践
在今天的数字时代,网站已经成为企业、机构和个人展示信息、交流互动的重要平台。然而,随着网络攻击技术的不断进步,网站也面临着各种安全威胁。本文将探讨五种常见的网络攻击类型,并提供保护网站免受这些攻击的方法与策略。
26 0
|
15天前
|
SQL 安全 网络安全
服务器入侵如何防护,业务被攻击如何处理,服务器安全防护方案
服务器入侵如何防护,业务被攻击如何处理,服务器安全防护方案
|
7月前
|
运维 安全 数据库
渗透攻击实例-系统/服务运维配置不当
渗透攻击实例-系统/服务运维配置不当
|
9月前
|
供应链 安全 物联网
漏洞挖掘和安全审计的技巧与策略
漏洞挖掘和安全审计是保护信息安全的重要环节。通过适当的技巧和策略,我们可以发现并解决系统中的安全漏洞,降低潜在威胁。随着技术的不断发展,我们需要不断学习和适应新的挑战,以构建更安全的数字化世界。
151 0