Time: 2020-02-18  知识星球

web实战篇-第1篇:网站被植入Webshell

  第1篇:网站被植入Webshell

  网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。

  现象描述

  网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析。

等级保护资讯网

  Webshell查杀工具:

  盾_Web查杀Window下webshell查杀:

  http://www.d99net.net/index.asp

  河马:支持多平台,但是需要联网环境。

  使用方法:

  wgethttp://down.shellpub.com/hm/latest/hm-linux-amd64.tgz.tarxvfhm-linux-amd64.tgzhmscan/www

  事件分析

  1、定位时间范围

  通过发现的webshell文件创建时间点,去翻看相关日期的访问日志。

等级保护资讯网

  2、Web日志分析

  经过日志分析,在文件创建的时间节点并未发现可疑的上传,但发现存在可疑的webservice接口

等级保护资讯网

  3、漏洞分析

  访问webservice接口,发现变量:buffer、distinctpach、newfilename可以在客户端自定义

等级保护资讯网

  4、漏洞复现

  尝试对漏洞进行复现,可成功上传webshell,控制网站服务器

等级保护资讯网

等级保护资讯网

  5、漏洞修复

  清除webshell并对webservice接口进行代码修复。

  从发现webshell到日志分析,再到漏洞复现和修复,本文暂不涉及溯源取证方面。


18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。