运维圣经:Webshell应急响应指南

目录

Webshell简介

Webshell检测手段

Webshell应急响应指南

一. Webshell排查

二. 确定入侵时间

三. Web日志分析

四. 漏洞分析

五. 漏洞复现

六. 清除Webshell并修复漏洞

七. Webshell防御方法


Webshell简介

Webshell通常指以JSP、ASP、 PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,以达到控制网站服务器的目的。

Webshell检测手段

基于流量的Webshell检测

基于流量的Webshel检测方便部署,我们可通过流量镜像直接分析原始信息。基于payload的行为分析,我们不仅可对已知的Webshell进行检测,还可识别出未知的、伪装性强的Webshell,对Webshell的访问特征 (IP/UA/Cookie) 、payload特征、 path特征、 时间特征等进行关联分析,以时间为索引,可还原攻击事件。

基于文件的Webshell检测

我们通过检测文件是否加密(混淆处理) ,创建Webshell样本hash库,可对比分析可疑文件。对文件的创建时间、修改时间、文件权限等进行检测,以确认是否为Webshell。

基于日志的Webshell检测

对常见的多种日志进行分析,可帮助我们有效识别Webshell的上传行为等。通过综合分析,可回溯整个攻击过程。

Webshell应急响应指南

如何判断被植入了Webshell?

  1. 网页被篡改,或在网站中发现非管理员设置的内容;
  2. 出现攻击者恶意篡改网页或网页被植入暗链的现象;
  3. 安全设备报警,或被上级部门通报遭遇Webshell等。

一. Webshell排查

利用Webshell扫描工具(如D盾)对应用部署目录进行扫描,如网站D: \WWW\目录,或者将当前网站目录文件与此前备份文件进行比对,查看是否存在新增的不一致内容,确定是否包含Webshell相关信息, 并确定Webshel位置及创建时间。然后利用文本文件打开,进一步分析发现可疑内容。
在Linux系统中也可以用命令:

//搜索目录下适配当前应用的网页文件,查看内容是否有Webshell特征
find ./ type f -name "*.jsp" | xargs grep "exec(" 
find ./ type f -name "*.php" | xargs grep "eval(" 
find ./ type f -name "*.asp" | xargs grep "execute(" 
find ./ type f -name "*.aspx" | xargs grep "eval(" 

//对于免杀Webshell,可以查看是否使用编码
find ./ type f -name "*.php" | xargs grep "base64_decode" 

二. 确定入侵时间

根据异常现象发生时间,结合网站目录中Webshell文件的创建时间,可大致定位事件发生的时间段。以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。

三. Web日志分析

需要对Web日志进行分析,以查找攻击路径及失陷原因,常见Web中间件默认地址

Windows

Apache
apache\logs\error.log
apache\logs\access.log

IIS
C:\inetpub\logs\LogFiles
C:\WINDOWS\system32\LogFiles

Tomcat
tomcat\access_log

Linux

Apache
/etc/httpd/logs/access_log
/var/log/httpd/access_log

Nginx
/usr/local/nginx/logs

在Linux日志排查时,为方便日志检索及溯源分析,列举了常用日志检索命令

定位具体的IP地址或文件名

find . access_log | grep xargs ip
find . access_log | grep xargs filename

查看页面访问前10的IP地址

cat access.log | cut -f1 -d " " | sort | uniq -c | sort -k 1 -r | head -10

查看页面访问前10的URL地址

cat access.log | cut -f4 -d " " | sort | uniq -c | sort -k 1 -r | head -10

四. 漏洞分析

通过日志分析发现的问题,针对攻击者的活动路径,可排查网站中存在的漏洞,并进行分许

五. 漏洞复现

复现攻击者的攻击路径

六. 清除Webshell并修复漏洞

  1. 处置时先断网,清理发现的 Webshell
  2. 如果网站被挂黑链或者被篡改首页,那么应删除篡改内容,同时务必审计源码,保证源码中不存在恶意添加的内容
  3. 在系统排查后,及时清理系统中隐藏的后门及攻击者操作的内容,存在 rootkit 后门,则建议重装系统
  4. 对排查过程中发现的漏利用点进行修补,必要时可以做黑盒渗透测试,全面发现应用漏洞
  5. 待上述操作处置完成,重新恢复网站运行

七. Webshell防御方法

  1. 配置必要的防火墙,并开启防火墙策略,防止暴露不必要的服务为攻击者提供利用条件
  2. 对服务器进行安全加固,例如,关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用 HTTPS 加密协议等
  3. 加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限
  4. 安装 Webshell 检测工具,根据检测结果对已发现的可疑 Webshell 痕立即隔离查杀,并排查漏洞
  5. 排查程序存在的漏洞,并及时修补漏洞
  6. 时常备份数据库等重要文件防止糟糕的事情发生重装系统
  7. 需要保持日常维护,并注意服务器中是否有来历不明的可执行脚本文件8.采用白名单机制上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/28561.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Webstorm 加载vue项目时,特别卡顿,完美解决。觉得有用加好友打赏

觉得有用加好友打赏:QQ:854138497 上图cpu直接干满。 根据上图提示,直接 disable hints,或者到下图的settings里面设置。 Code vision取消后,webstorm 明显就不卡了。记得重启webstorm。 还有一种方式,根…

组合模式(十二)

请相信自己,请再次相信自己,请一定要相信自己 上一章简单介绍了装饰者模式(十一), 如果没有看过, 请观看上一章 一. 组合模式 引用 菜鸟教程里面的 组合 模式介绍: https://www.runoob.com/design-pattern/composite-pattern.html 组合模式&#xff0…

2. CompletableFuture

2.1 Future接口理论知识复习 Future接口(FutureTask实现类)定义了操作异步任务执行一些方法,如获取异步任务的执行结果、取消异步任务的执行、判断任务是否被取消、判断任务执行是否完毕等。 举例:比如主线程让一个子线程去执行任…

电脑小白不要错过这五款小众但强大的软件

电脑上的各类软件有很多,除了那些常见的大众化软件,还有很多不为人知的小众软件,专注于实用功能,简洁干净、功能强悍。 多语言翻译——QTranslate QTranslate是一款实用的多语言翻译工具。它可以在任何应用程序中选中文本&#…

c++学习之多态

目录 1,什么是多态? 2,什么是虚函数? 1.如何实现父类对各个派生子类的操作? 2,父类指针保存子类空间产生的问题。 3,虚函数的定义 4,虚函数的动态绑定机制 5,重载&…

ESXI 环境搭建和配置

ESXI 环境搭建和配置 ESXI简介 ESXi专为运行虚拟机、最大限度降低配置要求和简化部署而设计。只需几分钟时间,客户便可完成从安装到运行虚拟机的全过程,特别是在下载并安装预配置虚拟设备的时候。 在VMware Virtual Appliance Marketplace 上有800多款…

FPC的发展及应用,软板行业未来将持续增长

FPC系列文章目录 1.什么是FPC 2.什么是R-FPC 3,FPC的基材 4.FPC基材压延铜和电解铜的区别 5,FPC的辅材 6,FPC常见的四种类型 7,FPC的生产流程简介 8,R-FPC的生产流程简介 9,FPC的发展及应用 提示&…

咖啡店小程序开发 让烟火小店更有生机

随着人们生活水平的提高和生活压力的增大,很多人都靠喝咖啡来缓解疲劳和压力,也为我们的生活增添了一丝情趣,但高峰时期排队购买一杯咖啡很浪费时间,很多赶时间的上班族不得不放弃。随着互联网技术深入到各行各业,传统…

【word wps文字】目录页码中的格式在打印或打印预览时变为和正文页码格式一样,如何调整?

一、问题背景 之前在闲鱼上,有个人找我改word排版,有一个需求就是正文页码两边需要横杠。 但是目录中显示的页码,不需要横杠。 我当时是一个一个在目录中删除横杠的,借助了查找与替换功能。 更改后,目录页码如下所…

Vscode 配置 wxWidgets 调试配置

在 .vscode 下创建 launch.json 加入以下内容 {// 使用 IntelliSense 了解相关属性。 // 悬停以查看现有属性的描述。// 欲了解更多信息,请访问: https://go.microsoft.com/fwlink/?linkid830387"version": "0.2.0","configurations&qu…

snmp默认团体名/弱口令漏洞及安全加固

一、漏洞描述 SNMP(简单网络管理协议)被广泛用于计算机操作系统设备、网络设备等领域监测连接到网络上的设备是否有任何引起管理上关注的情况。在运行SNMP服务的设备上,若管理员配置不当运行默认团体名/弱口令访问,将导致敏感信息泄露。敏感…

视频点播系统

服务端功能模块划分 数据管理模块:负责针对客户端上传的视频信息进行管理。 网络通信模块:搭建网络通信服务器,实现与客户端通信。 业务处理模块:针对客户端的各个请求进行对应业务处理并响应结果。 前端界面模块:…

RabbitMQ 安装

目录 一、安装RabbitMQ1、Linux 安装⑴、官网rpm包安装①、下载rpm安装包官网下载erlangrabbitmq packagecloud下载erlangrabbitmq ②、安装 erlang③、安装rabbitmq ⑵、packagecloud快速安装⑶、添加用户账号及权限并登陆⑷、卸载erlang与rabbitmq卸载rabbitmq卸载erlang 2、…

手把手教你实战TDD | 京东云技术团队

1. 前言 领域驱动设计,测试驱动开发。 我们在《手把手教你落地DDD》一文中介绍了领域驱动设计(DDD)的落地实战,本文将对测试驱动开发(TDD)进行探讨,主要内容有:TDD基本理解、TDD常…

了解D-Galactopyranose pentaacetate,CAS号25878-60-8的性质和应用

​ 中文名称:1,2,3,4,6-D-葡萄糖五乙酸酯 英文名称:D-Galactopyranose pentaacetate 规格标准:1g、5g、10g CAS:25878-60-8 分子式:C16H22O11 分子量:390.34 熔点:113C 沸点:451C 密…

MATLAB文化算法

目录 文化算法 主要代码 Sphere AdjustCulture 结果 文化算法 基本概念:优化算法 | 详解文化算法(附MATLAB代码) - 知乎 不同于遗传算法只有种群进化空间,文化算法包含信念空间、种群空间两个进化空间,因此&#…

ceph分布式存储实战

ceph分布式存储实战 分布式存储系统简介 性能与优势对比 虚拟机安装ceph集群 ceph存储系统简介 分布式存储概述 ceph基础 高可用ceph分布式存储系统部署 部署ceph集群 节点管理 ceph使用基础及数据存储案例 PG状态、数据读写流程及存储池操作 mon服务器的高可用: # apt in…

KaiwuDB 受邀亮相 IOTE 2023 第十九届国际物联网展

5月17日,IOTE 2023 第十九届国际物联网展在上海拉开序幕,全球超过 350 家参展企业到场展示先进的物联网技术和产品,行业专家、领军企业代表等人物齐聚一堂,共话 IoT 未来趋势。KaiwuDB 受邀亮相参展并就《工业物联网产业数字化转型…

CRF条件随机场的原理、例子、公式推导和应用

转子:https://zhuanlan.zhihu.com/p/148813079 条件随机场(Conditional Random Field,CRF)是自然语言处理的基础模型,广泛应用于中文分词、命名实体识别、词性标注等标注场景。 条件随机场CRF与深度学习结合&#xf…

如何使用Github搭建个人博客

介绍 在本文中,我将介绍如何使用GitHub搭建个人博客(免费)。GitHub是一个功能强大的版本控制和协作平台,它也可以用来托管和发布静态网页。通过将你的个人博客托管在GitHub上,你可以享受到版本控制的好处,…