第5章第1篇:网站被植入Webshell

web实战 第五章
创建时间:
字数:357 阅读: 评论:
  1. 第1篇:网站被植入Webshell
    1. 现象描述
    2. 事件分析
      1. 1、 定位时间范围
      2. 2、Web 日志分析
      3. 3、漏洞分析
      4. 4、漏洞复现
      5. 5、漏洞修复

第1篇:网站被植入Webshell

网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。

现象描述

网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析。

Webshell查杀工具:

D盾_Web查杀
Window下webshell查杀:http://www.d99net.net/index.asp

河马:支持多平台,但是需要联网环境。

使用方法:
wget http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz
tar xvf hm-linux-amd64.tgz
hm scan /www

事件分析

1、 定位时间范围

通过发现的webshell文件创建时间点,去翻看相关日期的访问日志。

2、Web 日志分析

经过日志分析,在文件创建的时间节点并未发现可疑的上传,但发现存在可疑的webservice接口

3、漏洞分析

访问webservice接口,发现变量:buffer、distinctpach、newfilename可以在客户端自定义

4、漏洞复现

尝试对漏洞进行复现,可成功上传webshell,控制网站服务器

5、漏洞修复

清除webshell并对webservice接口进行代码修复。

从发现webshell到日志分析,再到漏洞复现和修复,本文暂不涉及溯源取证方面。

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 cxaqhq@qq.com

文章标题:第5章第1篇:网站被植入Webshell

文章字数:357

本文作者:cx

发布时间:2019-10-16, 19:30:00

最后更新:2019-10-17, 10:43:12

©2019

Built with Hexo and 3-hexo theme

目录
×

喜欢就点赞,疼爱就打赏