Webshell 网络安全应急响应

这篇具有很好参考价值的文章主要介绍了Webshell 网络安全应急响应。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

基本信息

webshell通常指JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,是一种网页后门,攻击者入侵后,通常将后门文件网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接得到了服务器操作环境,达到控制网站的目的。

河马webshell,web安全,网络,安全

常见的webshell脚本

php:
<?php
	$a=exec($_GET["input"]);
	echo $a;
?>
jsp:
<%Runtime.getRuntime().exec(request.getParameter("));%>
asp:
<%eval request("cmd")% >

Webshell 的用途

1.站长工具
一般是通过浏览器来对网站所在的服务器进行运维管理。作用演变为在线编辑文件、上传和下载文件、数据库操作、执行命令。
2.持续远程控制
当攻击者通过手段完成Webshell植入时,为了防止其他攻击者再次利用,则会修改网站漏洞,达到网站被其单独、持续控制。而Webshell本身所拥有的密码验证可以确保其在未收到暴力破解工具攻击下,只能单独使用。
3.权限提升
Webshell的执行权限与web服务器运行权限息息相关,当前Web服务器是root权限 则webshell也是root权限。一般为普通用户权限,为进一步控制,采取计划任务、内核漏洞等方法来获取root权限。
4.极强的隐蔽性

部分恶意网页脚本可以嵌套在正常网页中运行,且不容易被查杀 ,上传成功后,被视为所在服务的一部分,流量传输也通过web服务本身进行,所以隐蔽性强。

检测方法

1)基于流量检测
基于流量的webshell检测方便部署,还可通过流量镜像直接分析原始信息。基于payload行为分析,不仅对可知的webshell进行检测,可识别未知、伪装性强的webshell,对它的访问特征(IP/UA/Cookie)、payload检测、path特征、时间特征,以时间为索引,可还原攻击事件。

2)基于文件检测
我们通过检测文件是否加密(混淆处理) ,创建Webshell样本hash库,可对比分析可疑文件。对文件的创建时间、修改时间、文件权限等进行检测,以确认是否为Webshell

3)基于日志检测
对常见的多种日志进行分析,可帮助我们有效识别Webshell的上传行为等。通过综合分析,可回溯整个攻击过程

初步判断

1.了解事件表现
1)网页被篡改、存在非管理员设置内容。
2)出现攻击者恶意篡改网页或者网页被植入暗链的现象
3)安全设备报警,或被上级部门通报遭遇webshell。

2.判断事件发生时间
查看webshell的创建时间,结合异常现象发生的时间,定位大致的时间发生时间段

3.判断系统架构
查看系统本身是否存在漏洞,包括服务器、CMS、框架、数据库、脚本语言、业务架构等

4.临时处置
删除检测到的Webshell文件,对文件进行备份,方便后续取证溯源。
对系统进行隔离,防止影响其他系统的。

Webshell排查

=windows排查=
可利用工具进行查询
D盾扫描,对可疑文件内容进行审查;端口进程查看、base64解码,以及克隆用户检测,文件监控。
河马Webshell查杀拥有海量Webshell样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术,支持多种操作系统。

Linux

可以使用河马webshell 查杀工具,也可以手工搜索特征。
利用这个find命令。
河马webshell,web安全,网络,安全

Web日志排查:

Windows:
常见的web中间件默认日志路径:

  • Apache:apache\log\error.log、apache\log\access.log
  • IIS: C:\inetpub\logs\LogFiles 、 C:\WINDOWS\system32\LogFiles
  • Toncat : tomcat\access_log
    要根据查询到的webshell文件创建时间前后搜索并对可疑内容做进一步分析取证。

Linux

常见的web中间件默认日志路径

  • Apache : /etc/httpd/logs/access_log; /var/log/httpd/access_log
  • Nginx: /usr/nginx/logs

同理定位时间段可疑日志记录,linux可以使用检索命令。

河马webshell,web安全,网络,安全

系统排查

windows

用户信息排查

1)用户排查
net user
2)隐藏用户排查
lusrvwr.msc
3)克隆用户排查
注册表的SAM下查询F值
4)网络连接排查
netstat -ano

进程、服务、启动项排查

1)进程

河马webshell,web安全,网络,安全2)服务排查

河马webshell,web安全,网络,安全3) 任务计划排查

任务计划日志存放于: C:\WINDOWS\System32\Tasks
taskschd.msc //任务计划程序

文件排查:

需要对各个盘符敏感目录排查
1)temp相关目录
常见路径:

  • C:\Windows\temp
  • C:\Users\Administrator\AppData\Local\temp

一般在非系统system32或system64目录下的svchost.exe基本上都是恶意文件。命名特殊文件也需要重点排查,打开查看内容或用威胁情报/微步等进行文件检测。

2)recent相关目录

目录路径:

  • C:\Documents and Settings\Administrator\recent
  • C:\Documents and Settin

Linux

用户信息排查

 cat /etc/passwd          查看系统用户信息
 awk -F: '{if ($3==0)print $1}' /etc/passwd      //查看UID为0的用户
 cat /etc/passwd | grep -v "nologin" | grep -v "false"    //查看能够登陆的用户
 awk -F: 'length($2)==0 {print $1}'  /etc/shadow     //查看是否存在空口令用户

`
河马webshell,web安全,网络,安全
进程、服务、网络连接排查

 ps aux/ps ef (可查看父进程)               //查看系统进程
 kill  -9 PID     //结束PID 对应进程
 netstat  -antpl       //查看网络连接、端口、进程以及PID 
 ls -lah  /proc/PID        //根据PID查看对应可执行程序
 rm -rf FileName       //删除进程
 如果存在用户无法删除,可查看文件是否存在i属性
 lsatter FileName    //查看文件属性
 chatter -i FileName     //移除i属性
 lsof  -p  PID         //查看对应可执行程序
 lsof -i:port           //查看指定端口对应的可执行程序
 top                      //查看CPU、内存等
 chkconfig   --list     //查看系统运行服务

河马webshell,web安全,网络,安全
运行级别

0关机;1单用户(找回密码);2多用户无网络服务;3多用户有网络服务;4保留;5图形化界面;6重启
7个运行级别分别对应7个目录,即/etc/rc[0-6].d就是/rc.d/rc[0-6].d的软链接。
/etc/rc.d下的init.d存放一些脚本,类型Windows注册表;rc.local文件会在用户登录之前读取。
因此需要重点关注这些目录:

河马webshell,web安全,网络,安全
rookit排查

Rootkit自身也是木马后门或恶意程序的一类,特殊恶意软件,功能是安装目标上隐藏自身及指定的文件、进程和网络连接等信息。
河马webshell,web安全,网络,安全

日志排查

Windows系统排查

河马webshell,web安全,网络,安全

Linux 系统排查
日志位置一般在/var/log目录下
河马webshell,web安全,网络,安全

数据库日志排查

Mysql日志排查
windows
河马webshell,web安全,网络,安全
linux

河马webshell,web安全,网络,安全
清除加固

1)处置时先断网,清理发现的webshell
2)如果网站被挂黑链接或者被篡改首页,删除篡改内容,审计源码
3)系统排查后,及时清理系统中隐藏的后门及攻击者操作内容,若存咋rootkit类后门,建议重装系统
4)对排查过程中发现的漏洞利用点进行修补,切断攻击路径,必要时可以做黑盒渗透测试
5)操作处置完成,重新恢复网站运行

Webshell防御方法

1)配置必要的防火墙,开启防火墙策略
2)对服务器进行安全加固
3)加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限
4)安装webshell检测工具
5)排查程序存在的漏洞并及时修补
6)时长备份数据库重要文件
7)日常维护
8)采用白名单机制上传文件,上传目录权限遵循最小权限原则文章来源地址https://www.toymoban.com/news/detail-521991.html

到了这里,关于Webshell 网络安全应急响应的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 机器学习和深度学习检测网络安全课题资料:XSS、DNS和DGA、恶意URL、webshell

    XSS 机器学习识别XSS实践 使用深度学习检测XSS 使用深度学习检测XSS(续) DNSDGA检测 使用CNN检测DNS隧道 探秘-基于机器学习的DNS隐蔽隧道检测方法与实现 DNS Tunnel隧道隐蔽

    2024年02月02日
    浏览(44)
  • 网络安全应急响应(归纳)

    1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认 识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分

    2024年03月23日
    浏览(52)
  • 网络安全-应急响应

    ​ 应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,

    2023年04月22日
    浏览(43)
  • 网络安全应急响应预案演练

    制定好的应急响应预案,只做培训还不够,还需要通过实战演 练来提高应对网络突发事件的行动力,针对网络突发事件的假想情 景,按照应急响应预案中规定的职责和程序来执行应急响应任务。 根据出现的新的网络攻击手段或其他特殊情况,不断进行预案的调 整完善。 1、

    2024年02月10日
    浏览(47)
  • 网络安全应急响应预案培训

    应急响应预案的培训是为了更好地应对网络突发状况,实施演 练计划所做的每一项工作,其培训过程主要针对应急预案涉及的相 关内容进行培训学习。做好应急预案的培训工作能使各级人员明确 自身职责,是做好应急响应工作的基础与前提。应急响应预案的培 训分为以下几

    2024年02月11日
    浏览(45)
  • 网络安全应急响应流程图

    当前,许多地区和单位已经初步建立了网络安全预警机制,实现了对一般网络安全事件的预警和处置。但是,由于网络与信息安全技术起步相对较晚,发展时间较短,与其他行业领域相比,其专项应急预案、应急保障机制和相关的技术支撑平台都还在不断发展中。各政府机构

    2024年02月05日
    浏览(46)
  • 网络安全运维-应急响应篇

    1.1 /tmp 目录 此目录下,任可用户均可读写,因此应关注此目录内容 1.2.1 /etc/init.d 系统服务目录 /etc/init.d/apache2 status #查看服务状态 apache2.service - The Apache HTTP Server      Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled)      Active: inactive (dead)        Doc

    2024年02月09日
    浏览(47)
  • 2023年网络安全竞赛——网络安全应急响应Server2228

    网络安全应急响应 任务环境说明: ü 服务器场景:Server2228(开放链接) ü 用户名:root,密码:p@ssw0rd123 1. 找出被黑客修改的系统别名,并将倒数第二个别名作为Flag值提交; 使用用户名和密码登录系统,如下图 在 Linux 中,可以使用 “alias” 命令查看当前系统中定义的所有

    2024年02月10日
    浏览(37)
  • 【Windows应急响应】HW蓝队必备——开机启动项、临时文件、进程排查、计划任务排查、注册表排查、恶意进程查杀、隐藏账户、webshell查杀等

    近年来信息安全事件频发,信息安全的技能、人才需求大增。现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。所谓养兵千日,用兵一时,拥有一支完善的团队或完整的流程,可以保

    2024年02月02日
    浏览(47)
  • 网络安全应急响应典型案例集

    本文是学习网络安全应急响应典型案例集(2021). 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露分为外部泄露和内部泄露两种,外部泄露典型如攻击者通过漏洞利

    2024年02月15日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包