应急响应-Webshell

文章目录


一、Webshell概述

什么是Webshell

shell的概念源于操作系统,就是一个解析字符串命令并执行的程序。为了动态执行某些功能,编程语言一般会提供一些函数,将用户输入的字符串解析为语言代码,或解析为操作系统命令。典型的PHP一句话木马

php 复制代码
<?php
	eval($_GET['cmd']);
?>

通过网络IO(socket API),获得cmdeval()cmd字符串当作操作系统命令执行。Webshell就是指JSP、ASP、PHP等编程语言(网页脚本)的程序,一般带有命令执行、文件操作等功能。通过Web服务器来通信和调用,并具有shell的功能,称为Webshell。

Webshell分类

基于编程语言

理论上只要是编程语言都可以,只要实现相应的Web框架就行。

基于文件大小/提供的功能多少

  • 大马
  • 小马
  • 一句话木马

Webshell 检测方法

  • 基于流量:通过流量还原数据包,并对HTTP数据包中的字符串做正则匹配
  • 基于文件:
    • 计算文件的哈希值,创建Webshell样本hash库
    • 检测文件属性(创建时间、文件权限等)
  • 基于日志:分析日志中进行了什么可疑行为,溯源Webshell

二、常规处置方法

  1. 入侵时间确定
    • Webshell 文件的创建时间 ---> 攻击的时间范围(根据此时间进行溯源分析、追踪攻击者活动路径)
  2. Web日志分析
    • 重点关注入侵时间前后的日志记录,寻找攻击路径、所利用的漏洞
  3. 漏洞分析
    • 通过日志中发现的问题,针对攻击者的活动路径,排查网站存在的漏洞,进行分析
  4. 漏洞复现
    • 对发现的漏洞进行复现,还原攻击者的活动路径
  5. 漏洞修复
    • 清除Webshell,修复存在的漏洞

三、技术指南

1、初步预判

1)事件表现:植入webshell,系统可能出现的异常现象
- 网页被篡改
- 安全设备告警

2)判断Webshell事件发生时间
- 根据异常现象发生能时间,结合Webshell创建时间,定位事件发生的时间段
3)判断系统架构(定位系统可能存在的漏洞)
项目 内容
服务器 Windows、Linux等
CMS Jeecms、Wordpress、Drupal、TRS WCM、Phpcms、Dedecms等
中间件 Tomcat、IIS、Apache、WebLogics、JBoss、Websphere、Jetty等
框架 Struts2、Thinkphp、Spring、Shiro、Fastjson等
数据库 MySQL
脚本语言 ASP、PHP、JSP等
业务架构 前端网页是否是后端通过FTP上传的 等

2、 Webshell排查

Windows:D盾、河马

Linux:河马、常用搜索命令

3、Web日志分析(查找攻击路径及失陷原因)

Windows下常见的中间件/Web服务器/HTTP服务器/Web容器默认日志路径

Linux下的路径

常用日志检索的命令:

4、系统排查

攻击者上传Webshell之后,往往还会执行进一步操作,如提权、添加用户、写入系统后门等,实现持久化驻留。因此还需要做系统排查。

4.1 Windows

到了系统排查这一步,其实是利用操作系统提供的相关组件与配置信息,查找攻击者的痕迹。在Win10里,Windows提供的相关工具在C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools都有相应快捷方式,打开到文件所在目录,这些工具几乎都在C:\Windows\system32目录下。其他版本的,请自行百度

在Windows Server 2019下,按win键,直接搜索"管理工具",

用户信息排查

  • 用户排查:
    • net user查看用户信息 (看不到隐藏用户)
    • net user username 查看某个账户的详细信息
  • 隐藏用户排查
    • 打开【计算机管理】->【本地用户和组】(家庭版无该组件)

进程排查

  • 进程名称(异常、不常见的名称要注意)
  • 进程的路径、CPU占用信息

服务排查

  • 服务说到底就是进程。比较新的Windows可以直接在任务管理器中看到服务
  • 我们可以在【系统信息】->【软件环境】->【服务】下,看到服务的启动情况及其对应启动文件

网络连接排查

  • netstat -ano -->查看当前网络连接情况,定位可疑的ESTABLISHED连接

启动项

可以在按win键搜【系统配置】,也可以在命令行输msconfig,下图为我新装的win server 2019

计划任务

任务计划日志通常存放在C:\Windows\System32\Tasks目录,可以直接打开系统的【任务计划程序】进行查看

文件排查

攻击想进一步扩大战果,就要上传一些远控木马等恶意文件。我们需要排查相关敏感目录,确定是否存在异常文件。

  • temp相关目录
    • C:\Windows\temp
    • C:\users\Administrator\AppData\Local\temp
  • recent 相关目录
    • C:\Documents and Settings\Administrator\recent
    • C:\Documents and Settings\Default User\recent

重点查看攻击时间范围内的文件,比如在非系统System32和Syswow64目录下的svchost.exe文件基本为恶意文件,.ps1为Powershell文件,可以直接编辑查看。

4.2 Linux

用户排查

  • cat /etc/passwd,是否有未知用户
  • 重点分析UID为 0 的用户

    进程排查
  • ps aux , 优先关注CPU、内存占用比较高的进程
  • 根据PID,使用ls -alh /proc/PID,查看其对应可执行程序,或使用lsof -p PID

  • lsof -i:port,查看指定端口对应的可执行程序

  • 查看隐藏进程,需下载unhide工具

  • 查看系统运行的服务systemctl --type service

网络连接

  • netstat -anp,优先关注对外连接的进程,或连接高危端口的进程
    netstat 命令详解

启动项

Linux中,系统启动内核挂载跟文件系统,然后启动并运行一个init程序,init 是非内核进程中第一个被启动运行的,PID为1。init 读取其配置文件来进行初始化工作,init 的配置文件如下

操作系统 配置文件
CentOS 5 /etc/inittab
CentOS 6 /etc/inittab、/etc/init/*.conf
CentOS 7 /etc/systemd/ststem、/usr/lib/systemd/system

init 进程的会运行开机启动程序,Linux 为不同的场合分配不同的开机启动程序,有称为"运行级别"(runlevel)

运行级别 说明
运行级别0 系统停机状态,系统默认运行级别不能为0,否则不能正常启动
运行级别1 单用户工作状态,root 权限,用于系统维护,禁止远程登录
运行级别2 多用户状态(没有NFS)
运行级别3 完全的多用户状态(有NFS),登陆后进入控制台命令行模式
运行级别4 系统未使用,保留
运行级别5 X11 控制台,登陆后进入GUI模式
运行级别6 系统正常关闭并重启,系统默认运行级别不能为6,否则将不能正常启动

7个运行级别对应7个目录,在/et/c/rc[0-6].d,里面的软链接,真实文件都在/etc/rc.d/init.d(内核较新或者不同发行版目录会有差异)。init.d目录通常存放一些脚本,类似Windows中的注册表;rc.local文件会在用户登陆前读取,每次系统启动时都会执行一次。(内核较新的都用systemd,这些文件会舍弃,下图是rc.local文件的内容)
关于systemd

  • cat /etc/init.d/rc.local
  • cat /etc/rc.local
  • ls -alt /etc/init.d

定时任务
crontab可以设置定时任务,直接用crontab -e编辑的是用户级别的定时任务,保存在/var/spool/cron/crontabs/{user}下,/etc/crontab是系统级别的定时任务;/etc下还有cron.daily等周期性执行脚本。

  • crontab -l,查看当前用户的定时任务,检查是否有后门木马程序启动相关信息
  • ls /etc/cron*查看 etc 目录下系统及定时任务相关文件

文件排查

  • ls -al 查看隐藏文件
  • find / -mtime 0 查看最近24小时内修改过的文件
  • stat filename 查看文件的修改、创建、访问时间
  • ls -alh /tmp 查看 tmp 目录文件
  • ls -alh /root/.ssh 查看是否存在恶意 ssh 公钥

5、系统日志

6、流量分析

案例

相关推荐
黑客Ela1 小时前
【网络安全设备系列】7、流量监控设备
安全·web安全
网络安全指导员2 小时前
网络安全 - DOS
web安全·哈希算法·散列表
hao_wujing3 小时前
网络安全等级自我评价
安全·web安全
HackKong3 小时前
高校网络安全_网络安全之道
java·网络·c++·python·学习·web安全·黑客技术
Mitch3113 小时前
【漏洞复现】CVE-2014-3120 & CVE-2015-1427 Expression Injection
运维·web安全·elasticsearch·docker·apache
无问社区5 小时前
无问社区-无问AI模型
人工智能·web安全·网络安全
群联云防护小杜6 小时前
服务器被攻击怎么办
运维·服务器·网络·网络协议·安全·web安全
Hacker_Oldv7 小时前
网络安全攻防学习平台 - 基础关
网络·学习·web安全
网络安全(king)8 小时前
网络安全之接入控制
网络·学习·安全·web安全
小火炉Q8 小时前
16 循环语句——for循环
人工智能·python·网络安全