欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

如何全面防御Webshell(下)?

来源:本站整理 作者:佚名 时间:2017-01-08 TAG: 我要投稿

 在进行调查时,最关键的部分之一是找到黑客的入口点,尤其是当运维团队将受攻击的服务器恢复正常后,我们意识到有很多的服务器已经被各种webshell、rootkits和密码导出工具感染时。

图片1.png

需要快速的通过时间轴法对恶意软件留下的文件以及横向的多台可能被感染的服务器进行分析,然后找出第一个被安装的恶意软件样本,现在唯一的问题是黑客是如何将恶意文件上传至内部网络的。恶意软件通常以当前的服务器权限进行各项操作,但是很不幸的是通常它所处的环境就是管理员权限。

那么我们应该从何下手?

一个成功的调查需要从不同的实体(上下文)获取到大量的信息来构建一个能更好的理解系统、基础设施、业务流程的画像。

就拿Tomcat来说,它在被安装后会将应用的日志保存到stdout.log中。如同大多数的标准输出日志一样,你在日志中会看到应用大量的堆栈跟踪活动记录,生产环境的服务器尤为如此。但是当看完所有的记录后,我发现了一条奇特的记录:

1482469315886741.png

进一步的,我发现了更有趣的另一个文件:

1482469324488759.png

如果第一条记录还不够明显,那么从第二条记录就看出有人试图将精简的webshell写入到文件中。接下来我们需要好好看看文件的内容了:

图片7.png

该webshell通过参数cmd进行命令的传参,然后在系统上执行该命令并回显执行结果。

至此,应用程序的日志表明了有人试图将webshell上传到服务器上,但是目前还不清楚这是如何实现的。日志关于该webshell被上传的记录已经部分丢失,但是庆幸的是我知道webshell存储的位置以及它的名称,接下来我们是不是应该去分析一些web日志了?

在web日志中我发现了如下的一条记录:

图片3.png

这条日志似乎说明有人试图通过执行系统命令来查看当前系统的网络配置。

在日志中搜寻包含关键字”redirectAction:”的记录:

图片4.png

这条日志显示有人试图将上面提到的webshell写入到系统的文件夹中。通过谷歌搜索以及测试后,我们发现这条日志显示了有人在测试服务器的Struts 2漏洞(CVE-2013-2135)。通过时间轴法进行分析,我们发现了黑客的入手点。

一图胜千言,将所有的讯息整合到一起后绘制了如下视图:

图片6.png

还谈webshell:查杀工具

接下来将要介绍的webshell查杀工具如下:

1、NeoPI

2、Shell Detector

3、LOKI

接下来的是webshell查杀工具要查杀的病毒样本:

1、byroe.jpg—-将webshell代码隐藏在图片中

2、myluph.php—PHP webshell样本

3、webshell.php—一开始提到的那个webshell样本

4、vero.txt—包含混淆代码和原始代码的PHP webshell样本

5、myluphdecoded.php—解码后的myluph.php

6、China Chopper—中国菜刀

7、c99madshell.php—常用的webshell

8、unknownPHP.php—别人分享的一个webshell

外带一些常规的正常文件:

1、来自常用网站的index.html页面

2、ASPX文件

3、PHP文件

4、JavaScript文件

NeoPI

根据NeoPI在GitHub上的描述信息,该工具的代码由python编写,通过统计学的方法来检测混淆/编码的内容。使用该工具对上面提到的文件进行扫描:

1.png

11.png

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载