WebShell应急响应检测方法研究与实践.pdf
《WebShell应急响应检测方法研究与实践.pdf》由会员分享,可在线阅读,更多相关《WebShell应急响应检测方法研究与实践.pdf(4页珍藏版)》请在咨信网上搜索。
1、物联网技术 2023年/第8期 智能处理与应用Intelligent Processing and Application1080 引 言WebShell 通常指网站服务器的后门恶意文件,是一种以可执行网页脚本文件的形式存在于 Web 服务器上,一般具有文件上传下载、在线编辑、数据库操作、命令执行等功能,因经常与常规的网页文件混合保存在同一个目录中,具有极强的隐蔽性。WebShell 可以轻松绕过防火墙,不被防火墙拦截,同时对它的操作只在 Web 日志中留下使用痕迹,而不会在系统日志中留下数据操作的痕迹。网络入侵者通过网站文件上传、SQL注入等漏洞植入WebShell到网站服务器目录上,应用专
2、门的后门管理工具进行连接恶意文件成功后,从而达到持续控制网站服务器权限目的。1 WebShell 分类WebShell 分类通常有两种形式:一种是按照脚本语言类型划分;另一种就是按照脚本功能和大小划分。1.1 脚本类型分类常见的Web网页形式有PHP语言、ASP语言、JSP语言等,因此 WebShell 划分为 PHP、ASP 和 JSP 三种类型1,常见的 WebShell 脚本见表 1 所列。(1)PHP 类型 WebShell 脚本PHP(Hypertext Preprocessor)为 超 文 本 预 处 理 器,PHP 可以支持常见的 MySQL、Oracle 等数据库和常见的Win
3、dows 和 Linux 操作系统,适合用来做 Web 动态网站开发,并可以把它嵌入到 HTML 语言中。表 1 WebShell 分类简单脚本WebShell 分类WebShell 简单脚本PHP 型 WebShell 脚本ASP 型 WebShell 脚本JSP 型 WebShell 脚本(2)ASP 类型 WebShell 脚本ASP(Active Server Page)为活动服务器网页,用于各种动态网站服务的开发,与数据库和其他应用程序交互也是非常方便,支持 Windows 操作系统上 IIS 服务器运行的 程序。(3)JSP 类型 WebShell 脚本JSP(Java Serve
4、r Page)是一种动态 Web 资源的开发技术。JSP 是在传统的网页 HTML 文件中插入 Java 程序段和JSP 标记,从而形成 JSP 文件。1.2 脚本大小和功能分类按照 WebShell 的大小和功能将其划分为一句话木马、小马和大马三类。(1)一句话木马型 WebShell。顾名思义就是文件内容只有一句话,如表 1 中的 WebShell 简单脚本所示,传入的参数方法常有 POST、GET 和 Request 方法。POST 方法提交的参数可以使用中国菜刀、蚁剑等远程管理工具连接目标受害服务器;GET 方法提交的参数通过 URL 地址形式WebShell 应急响应检测方法研究与实
5、践朱振南,金京犬(安徽邮电职业技术学院,安徽 合肥 230031)摘 要:互联网上的 Web 信息系统的飞速发展,给人们的生活和办公上带来了便利。然而,近年来网络安全事件频发,暴露出互联网的 Web 信息系统面临的风险和其脆弱性。作为网站服务器的后门恶意文件,即 WebShell,其具有极强的隐蔽性,是黑客入侵网站的重要手段,直接影响着互联网上 Web 信息系统的安全与效率。因此,对WebShell 的分析和研究就显得极为重要。鉴于此,讨论 WebShell 的分类方法,分析了两种 WebShell 的上传方法,给出了当前 WebShell 检测的主流方法,介绍了 WebShell 应急响应的
6、一般流程。最后给出一个 Windows 操作系统服务器,针对 WebShell 应急响应处置流程进行实验。实验结果表明,结合现有的 WebShell 检测和响应技术可以保障Web 信息系统的安全性、可用性和稳定性。关键词:应急响应;WebShell 检测;Web 信息系统;网络安全;WebShell 分类;Web 日志分析中图分类号:TP393.08 文献标识码:A 文章编号:2095-1302(2023)08-0108-03收稿日期:2022-07-15 修回日期:2022-09-02基金项目:安徽省高校自然科学重点研究项目(2022AH052959)阶段性研究成果DOI:10.16667/
7、j.issn.2095-1302.2023.08.0292023年/第8期 物联网技术智能处理与应用Intelligent Processing and Application109连接目标受害服务器;Request 方法提交的参数既可以使用POST 方法又可以使用 GET 方法连接目标受害服务器。假设 IP 地址为 192.168.1.6 目标服务器根目录下有一个隐藏的GET 类型的一句话木马文件.a.php,利用访问方式 http:/192.168.1.6/.a.php?cmd=system(cat/flag.txt);获取敏感文件/flag.txt 内容,如图 1 所示,参数 cmd 是
8、攻击者远程控制服务器的连接密码。图 1 一句话木马利用(2)小马型 WebShell。该类型功能比较简单,文件容量也是比较小,一般用来创建后者上传大马 WebShell 文件。如图 2 所示,利用小马 small.php 创建一个新的文件 New.php,其功能是可以绕过各大杀毒软件、安全狗、D 盾的php 类型的一句话恶意文件,且连接密码为“1”。图 2 小马创建 New.php(3)大马型 WebShell。该类型 WebShell 功能比较齐全,体积较大。把文件上传与下载、编辑、数据库管理、提权等功能集在一个 GUI 界面,操作方便。图 3 是经典的大马操作界面。图 3 经典大马 GUI
9、 界面2 WebShell 上传方法当网站中存在高危漏洞,攻击者利用这些高危漏洞就可以把 WebShell 上传到网站,网站的访问权限被进一步提升,常见的 WebShell 上传方法有以下两种。2.1 利用文件上传漏洞上传 WebShell网站中经常需要上传一些像图片、Word 和 Excel 等附件,但是有时候仅仅实现了文件上传功能,没有对用户输入的数据做严格的过滤,存在文件上传漏洞。文件上传漏洞是最常见上传 WebShell 的方法。有些网站只是在前端 JavaScript 做控制,这种控制方法没有任何实际效果,攻击者可以通过浏览器开发者模式绕过。利用文件上传漏洞绕过上传 WebShell
10、方式有多种,如通过黑名单、双写、大小写、00 截断、服务器解析和图片码等方式绕过服务器,进而上传恶意的WebShell。2.2 利用 SQL 注入漏洞上传 WebShell网站中某些功能经常需要和数据库进行交互操作,比如搜索框、登录框、注册入口等,攻击者通过构造一些 SQL语句拼接在原程序设计的语句之后,从而导致数据库受损被脱库、删除,甚至整个服务器权限沦陷。结合 union 联合查询方法和 into outfile 方法,把 WebShell 写入到指定的文件中,例如可以采用 payload:xxx union select into outfile/var/www/html/1.php#,
11、把一句话木马写入到网站的根目录下 1.php 的文件中。使用 into outfile 方法写入 WebShell 到指定文件中有 3 个限制条件,即需要知道远程目录、需要远程目录有写权限、需要数据库开启了 secure_file_priv 选项功能。3 WebShell 检测方法WebShell 典型检测方法有静态检测、动态检测、日志检测和基于机器学习检测四大研究方向。各类检测方法的比较见表 2 所列。表 2 WebShell 检测方法比较WebShell检测方法检测时间范围优 点缺 点静态检测入侵实施前检测实现简单,对于已知WebShell 检测效率高误报漏报率高动态检测入侵执行时检测能检
12、测出未知 WebShell,误报率低实现困难,时效性差日志检测入侵执行后检测实现简单,效果明显日志数据庞大,检测效率低机器学习检测入侵实施前检测准确率高学习算法设计困难,误报率高3.1 基于静态的 WebShell 检测基于静态的检测方法2主要是检测 WebShell 文件本身,通过预先设计好的正则表达式检测文件内容是否包含有执行系统的高危函数、特征值等属性,这类检测方法要求特征库全面、正则表达式的数据处理能力强,但对于变形、加密、免杀处理和新型未知的 WebShell 不能识别,导致漏报率 很高。3.2 基于动态的 WebShell 检测基于动态的检测方法3主要是通过检测敏感函数和流量分析方
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WebShell 应急 响应 检测 方法 研究 实践
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。