當網站服務器被控制後,就可以在其上任意查看數據庫、上傳下載文件以及執行任意程序命令等。WebShell與正常網頁具有相同的運行環境和服務端口,它與遠程主機通過WWW(80)端口進行數據交換的,壹次能夠很容易地避開殺毒軟件的檢測和穿透防火墻。
總體,懸鏡服務器衛士中WebShell的作用,壹方面,WebShell常常被站長用於網站管理、服務器管理等等,根據FSO權限的不同,作用有在線編輯網頁腳本、上傳下載文件、查看數據庫、執行任意程序命令等。另壹方面,被入侵者利用,從而達到控制網站服務器的目的。
這些網頁腳本常稱為Web腳本木馬,目前比較流行的ASP或PHP木馬,也有基於.NET的腳本木馬。懸鏡服務器衛士中系統應用防護中WebShell檢測,所要應對的就是後者。
懸鏡服務器衛士WebShell有以下5種攻擊方式:
1)首先通過系統前臺上傳WebShell腳本到網站服務器,此時,網站服務器會向客戶端返回上傳文件的整體URL信息;然後通過URL對這個腳本進行訪問,使其可以執行;最終導致攻擊者能夠在網站的任意目錄中上傳懸鏡服務器衛士WebShell,從而獲取管理員權限。
2)攻擊者利用管理員密碼登錄進入後臺系統,並借助後臺管理工具向配置文件寫入懸鏡服務器衛士WebShell,允許任意腳本文件上傳。
3)通過數據庫的備份和恢復功能和獲取WebShell。在數據庫備份時,可以將備份文件的擴展名更改為.asp類型。
4)系統中其他站點遭受攻擊,或者搭載在Web服務器上的Ftp服務器遭受攻擊後,被註入了WebShell,這些都會導致整個網站系統被感染。
5) 攻擊者利用Web服務器漏洞直接對其進行攻擊,從而獲得控制權限。
WebShell的感染過程描述:
1)攻擊者首先通過SQL註入、跨站腳本攻擊等方式得到上傳權限,然後將WebShell上傳至服務器。
2)通過WebShell完成對服務器的控制,實現植入僵屍木馬、篡改網頁以及獲取敏感信息等惡意功能。
3)植入攻擊木馬,使其作為攻擊“肉雞”對整個網站進行感染。
3.4.1.5Linux下WebShell攻擊
WebShell反彈命令行Shell的方式在Linux從操作系統下Web服務器入侵提權過程中得到了廣泛應用。在Linux下,WebShell可以執行命令,然後溢出卻必須在交互環境中進行,否則即使提權成功,也不能獲得完美利用。
因此,為了完成WebShell攻擊,只需反彈壹個Shell命令行窗口,在命令行終端下執行溢出並進行提權。
多數Linux操作系統下的PHP WebShell都通過反彈連接功能獲得壹個繼承當前WebShell權限的Shell命令行窗口。在使用反彈連接功能前,需要首先使用NC工具對壹個未使用的端口進行監聽,然後選擇反彈連接方式。
3.4.1.6 WebShell檢測
對於WebShell的檢測,北京安普諾網絡安全團隊通過自主研發,設計出壹種綜合多種檢測方法的綜合檢測方案。
特征檢測系統中核心是特征提取,選取特征的好壞直接關系到檢測結果的優劣。因此,在進行特征選取時,首先應對Web頁面本身進行充分考慮,使得選取的特征能夠很好地表現出靜態頁面。其次,選取的特征還應該具有動態特點,可以體現出頁面所進行的操作。
如果提取網頁的全部特征進行處理,則無法檢測變形的WebShell,也會因為特征過多而對效率產生影響。如果檢測特征過少,則有可能產生誤報。通過將多個WebShell庫綜合在壹起,同時,又加入公司積累的特征碼,綜合構建了壹個非常強大的WebShell特征庫,這個特征庫構成了WebShell檢測的依據。
通過對文件進行特征庫匹配、文件base64編碼後特征庫匹配、可疑特征碼匹配等多種手段進行掃描,從而保證掃描準確性並且降低誤報率。
掃描後,可以具體的提供WebShell的名稱、類型等詳細信息,以供用戶參考。並且針對反饋,用戶還可以有選擇的執行“清理”、“添加信任”等功能,以此實現對WebShell的檢測、發現、處理等操作。
特征檢測是比較常見的WebShell檢測方法,base64編碼後特征匹配相對於普通特征碼檢測的優勢在於匹配的準確性更高誤報率更低。
但是特征檢測的局限性還是存在的,就是同時降低誤報率和漏報率是很難實現的,所以還需要別的手段對文件進行綜合的檢測。
為此懸鏡服務器衛士中有Delttime(文件創建時間間隔),Fnum(文件數量閾值)的概念。以特征屬性、Delttime屬性、Fnum屬性作為Webshell動態檢測算法的主要3個輸入參數,根據不同參數對檢測結果的影響大小來決定其在算法中的權重。
實踐證明該算法檢測效率相對傳統特征值檢測大幅降低檢測誤報率,有壹定的可行性。目前懸鏡服務器衛士正在申請國家發明專利。與此同時,為了方便用戶使用,軟件給用戶提供“快速掃描”、“自定義掃描”功能。
具體效果,大家可以通過下載使用懸鏡服務器衛士就知道了。謝謝。希望這個能幫到妳。