¿Cómo utilizar webshell en un espejo colgante?
Cuando el servidor del sitio web está controlado, puede ver la base de datos, cargar y descargar archivos y ejecutar cualquier comando del programa. WebShell tiene el mismo entorno de ejecución y puerto de servicio que las páginas web normales. Intercambia datos con el host remoto a través del puerto WWW (80), lo que puede evitar fácilmente la detección de software antivirus y penetrar el firewall de una sola vez.
En general, el papel de WebShell en la protección del servidor espejo. Por un lado, los webmasters suelen utilizar WebShell para la gestión de sitios web, la gestión de servidores, etc. Dependiendo de los permisos de FSO, tiene funciones como edición en línea de scripts web, carga y descarga de archivos, visualización de bases de datos y ejecución de comandos de programas arbitrarios. Por otro lado, los intrusos lo utilizan para tomar el control de los servidores de sitios web.
Estos scripts web suelen denominarse troyanos de scripts web, como troyanos ASP o PHP, y se basan en . neto. La protección del servidor espejo de detección de WebShell en la protección de aplicaciones del sistema es la última.
El WebShell guardián del servidor espejo tiene los siguientes cinco métodos de ataque:
1) Primero cargue el script WebShell en el servidor del sitio web a través de la recepción del sistema. En este momento, el servidor del sitio web devolverá la información URL completa del archivo cargado al cliente; luego accederá al script a través de la URL para hacerlo ejecutable, finalmente, el atacante puede cargar el WebShell guardián del servidor espejo en cualquier directorio de; el sitio web, obteniendo así derechos de Administrador.
2) El atacante usa la contraseña de administrador para iniciar sesión en el sistema backend y usa la herramienta de administración backend para escribir el WebShell de protección del servidor espejo en el archivo de configuración, permitiendo la carga de cualquier archivo de script.
3) Obtenga WebShell a través de la función de copia de seguridad y recuperación de la base de datos. Al realizar una copia de seguridad de su base de datos, puede cambiar la extensión del archivo de copia de seguridad a . tipo áspid.
4) Se atacan otros sitios en el sistema, o se ataca el servidor Ftp en el servidor web y se inyecta WebShell, lo que provocará que todo el sistema del sitio web se infecte.
5) El atacante aprovecha la vulnerabilidad del servidor web para atacar directamente y hacerse con el control.
Descripción del proceso de infección de WebShell:
1) El atacante primero obtiene permiso de carga mediante inyección SQL, ataque de secuencias de comandos entre sitios y luego carga WebShell en el servidor.
2) Completar el control del servidor a través de WebShell para implementar funciones maliciosas como implantar troyanos zombies, manipular páginas web y obtener información confidencial.
3) Implantar el troyano de ataque e infectar todo el sitio web como un ataque "broiler".
3.4.1.5 Ataque de WebShell en Linux
La forma en que WebShell rebota la línea de comandos Shell se obtuvo en el proceso en el que Linux obtuvo poder de la intrusión del servidor web en el sistema operativo. de aplicaciones. En Linux, WebShell puede ejecutar comandos, pero el desbordamiento debe realizarse en un entorno interactivo; de lo contrario, incluso si la elevación de privilegios se realiza correctamente, no se puede utilizar perfectamente.
Entonces, para completar el ataque WebShell, solo necesita abrir una ventana de línea de comando de Shell, ejecutar el desbordamiento en la terminal de línea de comando y elevar los permisos.
PHP WebShell en la mayoría de los sistemas operativos Linux obtiene una ventana de línea de comando de Shell que hereda los permisos actuales de WebShell a través de la función de conexión de rebote. Antes de utilizar la función de conexión de rebote, debe utilizar la herramienta NC para monitorear un puerto no utilizado y luego seleccionar el método de conexión de rebote.
3.4.1.6 Detección de WebShell
Para la detección de WebShell, el equipo de seguridad de la red Ampno de Beijing ha diseñado un plan de detección que integra múltiples métodos de detección a través de investigación y desarrollo independientes.
El núcleo del sistema de detección de funciones es la extracción de funciones, y la calidad de la selección de funciones está directamente relacionada con la calidad de los resultados de la detección. Por lo tanto, al seleccionar funciones, primero debemos considerar completamente la página web en sí para que las funciones seleccionadas puedan representar bien la página estática. En segundo lugar, las funciones seleccionadas también deben tener características dinámicas y poder reflejar el funcionamiento de la página.
Si se extraen y procesan todas las funciones de la página web, el WebShell deformado no se puede detectar y la eficiencia se verá afectada debido a demasiadas funciones. Si se detectan muy pocas características, pueden producirse falsos positivos. Combinando varias bibliotecas de WebShell y agregando los códigos de características acumulados por la empresa, se construye una biblioteca de características de WebShell muy poderosa, que forma la base de la detección de WebShell.
A través de la coincidencia de bases de datos de características, la coincidencia de bases de datos de características codificadas en base64 y la coincidencia de códigos de características sospechosas, se garantiza la precisión del escaneo y se reduce la tasa de falsas alarmas.
Después del escaneo, se puede proporcionar información detallada, como el nombre y el tipo de WebShell, para referencia del usuario.
Y para recibir comentarios, los usuarios también pueden realizar de forma selectiva funciones como "limpiar" y "agregar confianza" para realizar la detección, descubrimiento y procesamiento de WebShell.
La detección de funciones es un método de detección común de WebShell. En comparación con la detección de códigos de características ordinarias, la ventaja de la coincidencia de características codificadas en base64 es una mayor precisión de coincidencia y una menor tasa de falsas alarmas.
Sin embargo, aún existen limitaciones en la detección de funciones, es decir, es difícil reducir la tasa de falsos positivos y falsos negativos al mismo tiempo, por lo que se necesitan otros medios para detectar archivos de manera integral.
Debido a esto, los conceptos de Delttime (intervalo de creación de archivos) y Fnum (umbral de número de archivos) existen en Mirror Server Guard. El atributo Feature, el atributo Delttime y el atributo Fnum son los tres parámetros de entrada principales del algoritmo de detección dinámica de Webshell. Su peso en el algoritmo se determina en función del impacto de los diferentes parámetros en los resultados de la detección.
La práctica ha demostrado que la eficiencia de detección de este algoritmo es mucho menor que la de la detección de valores de características tradicionales, y es factible. Actualmente, el protector de servidor con espejo colgante está solicitando una patente de invención nacional. Al mismo tiempo, para comodidad del usuario, el software proporciona a los usuarios las funciones de "Escaneo rápido" y "Escaneo personalizado".
Puedes conocer el efecto específico descargando y utilizando Mirror Server Guard. Gracias. Espero que esto ayude.