¿Cómo utilizar WebShell en el espejo colgante?
Cuando se controla el servidor web, se puede utilizar para ver la base de datos, cargar y descargar archivos y ejecutar comandos de programa arbitrarios. WebShell tiene el mismo entorno de ejecución y puerto de servicio que las páginas web normales. Intercambia datos con el host remoto a través del puerto WWW (80), por lo que puede evitar fácilmente la detección del software antivirus y penetrar los firewalls.
En general, el papel de WebShell en la protección del servidor espejo colgante. Por un lado, los webmasters suelen utilizar WebShell para la administración de sitios web, administración de servidores, etc., y desempeña una función de edición en línea según FSO. permisos de secuencias de comandos de páginas web, carga y descarga de archivos, visualización de bases de datos, ejecución de comandos de programas arbitrarios, etc. Por otro lado, los intrusos lo utilizan para lograr el propósito de controlar el servidor web.
Estos scripts web suelen denominarse troyanos de scripts web. Actualmente, los más populares son troyanos ASP o PHP, y también existen troyanos de scripts basados en .NET. También existen troyanos de secuencias de comandos basados en .NET. La detección WebShell de la protección de aplicaciones del sistema en Hang Mirror Server Guard está diseñada para este último.
El WebShell del protector del servidor espejo montado en el caballo tiene los siguientes cinco métodos de ataque:
1) Primero cargue el script WebShell al servidor web a través de la recepción del sistema. En ese momento, el servidor web devuelve la información URL general del archivo cargado; luego se accede a este script a través de la URL, lo que permite que se ejecute y, en última instancia, el atacante puede cargar un script WebShell en cualquier directorio del sitio web. Cargue WebShell del defensor del servidor espejo en cualquier directorio del sitio web para obtener derechos de administrador.
2) El atacante utiliza la contraseña de administrador para iniciar sesión en el sistema backend y utiliza la herramienta de administración backend para escribir WebShell del defensor del servidor espejo en el archivo de configuración, lo que permite cargar cualquier archivo de script.
3) A través de capacidades de copia de seguridad y recuperación de bases de datos y acceso a WebShell. Durante el proceso de copia de seguridad de la base de datos, puede cambiar la extensión del archivo de copia de seguridad al tipo .asp.
4) Se atacan otros sitios del sistema, o se ataca el servidor Ftp montado en el servidor web y se inyecta WebShell, lo que puede provocar la infección de todo el sistema web.
5) Los atacantes aprovechan las vulnerabilidades del servidor web para atacarlo directamente y hacerse con el control.
Descripción del proceso de infección de WebShell:
1) El atacante primero obtiene permisos de carga mediante inyección SQL, ataques de secuencias de comandos entre sitios, etc., y luego carga WebShell en el servidor. .
2) Completar el control del servidor a través de WebShell para implementar funciones maliciosas como implantar troyanos zombies, manipular páginas web y obtener información confidencial.
3) Implantar un troyano de ataque para infectar todo el sitio web a modo de "broiler" de ataque.
3.4.1.5 Ataque WebShell en Linux
El método de rebote de WebShell en el shell de la línea de comandos se ha utilizado ampliamente en el proceso de invasión del servidor web desde el sistema operativo en Linux. En Linux, WebShell puede ejecutar comandos y luego desbordarse, pero debe hacerse en un entorno interactivo; de lo contrario, incluso si la escalada de privilegios es exitosa, no se puede explotar por completo.
Por lo tanto, para completar el ataque WebShell, solo necesita abrir la ventana de línea de comando de Shell, ejecutar el desbordamiento y ejecutar la liberación en la terminal de línea de comando.
La mayoría de PHP WebShells en sistemas operativos Linux utilizan la función de conexión de rebote para obtener una ventana de línea de comando de Shell que hereda los permisos del WebShell actual. Antes de utilizar la función de conexión de rebote, primero debe utilizar la herramienta NC para escuchar un puerto no utilizado y luego seleccionar el método de conexión de rebote.
3.4.1.6 Detección de WebShell
Para la detección de WebShell, el equipo de seguridad de Beijing Amfenol Network ha diseñado un programa de detección integral que integra múltiples métodos de detección a través de investigación y desarrollo independientes.
El núcleo del sistema de detección de características es la extracción de características, y la selección de características está directamente relacionada con la calidad de los resultados de la detección. Por lo tanto, al seleccionar funciones, primero se debe considerar completamente la página web en sí, de modo que las funciones seleccionadas puedan expresar bien la naturaleza estática de la página web. En segundo lugar, las funciones seleccionadas también deben ser dinámicas y reflejar las operaciones realizadas en la página web.
Si se extraen todas las funciones de la página web para su procesamiento, no se detectará el WebShell deformado y demasiadas funciones también afectarán la eficiencia. Si se detectan muy pocas características, pueden producirse falsos positivos. Al integrar varias bibliotecas de WebShell y agregar el código de firma acumulado por la empresa, se puede construir de manera integral una biblioteca de firmas de WebShell muy poderosa, que constituye la base de la detección de WebShell.
El escaneo se realiza de diversas maneras, como hacer coincidir archivos con bibliotecas de firmas, hacer coincidir archivos con bibliotecas de firmas codificadas en base64 y hacer coincidir códigos de firmas sospechosos para garantizar la precisión del escaneo y reducir el riesgo de una tasa de falsas alarmas. .
Después del escaneo, puede proporcionar detalles sobre el nombre y tipo de WebShell para su referencia. En respuesta a la información de retroalimentación, los usuarios también pueden realizar selectivamente funciones como "limpiar" y "agregar confianza" para detectar, descubrir y manejar WebShell.
La detección de características es un método común para la detección de WebShell. En comparación con la detección de códigos de características ordinarias, la ventaja de la coincidencia de características de codificación base64 es que la precisión de la coincidencia es mayor y la tasa de falsos positivos es menor.
Sin embargo, las limitaciones de la detección de funciones aún existen, es decir, es difícil reducir la tasa de falsas alarmas y la tasa de detección perdida al mismo tiempo. Por lo tanto, es necesario utilizar otros medios para lograr un archivo completo. detección.
Con este fin, Mirror Server Guard propuso los conceptos de Delttime (intervalo de creación de archivos) y Fnum (umbral de número de archivos). Los atributos característicos, los atributos Delttime y los atributos Fnum son los tres parámetros de entrada principales del algoritmo de detección dinámica de Webshell. Sus pesos en el algoritmo se determinan en función del impacto de diferentes parámetros en los resultados de la detección.
La práctica ha demostrado que la eficiencia de detección de este algoritmo reduce significativamente la tasa de falsas alarmas en comparación con la detección de valores de características tradicionales, y tiene cierta viabilidad. Actualmente, Xuanjing Server Guard está solicitando una patente de invención nacional. Al mismo tiempo, para comodidad de los usuarios, el software les proporciona funciones de "escaneo rápido" y "escaneo personalizado".
Puedes conocer el efecto específico descargando y usando Mirror Server Guard. Gracias por su apoyo. Espero que esto ayude.