網站被植入webshell,意味着網站存在可利用的高危漏洞,攻擊者通過利用漏洞入侵網站,寫入webshell接管網站的控制權。為了得到權限 ,常規的手段如:前后台任意文件上傳,遠程命令執行,Sql注入寫入文件等。
現象描述
網站管理員在站點目錄下發現存在webshell,於是開始了對入侵過程展開了分析。
Webshell查殺工具:
D盾_Web查殺 Window下webshell查殺:http://www.d99net.net/index.asp
河馬:支持多平台,但是需要聯網環境。
使用方法: wget http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz tar xvf hm-linux-amd64.tgz hm scan /www
事件分析
1、 定位時間范圍
通過發現的webshell文件創建時間點,去翻看相關日期的訪問日志。
2、Web 日志分析
經過日志分析,在文件創建的時間節點並未發現可疑的上傳,但發現存在可疑的webservice接口
3、漏洞分析
訪問webservice接口,發現變量:buffer、distinctpach、newfilename可以在客戶端自定義
4、漏洞復現
嘗試對漏洞進行復現,可成功上傳webshell,控制網站服務器
5、漏洞修復
清除webshell並對webservice接口進行代碼修復。
從發現webshell到日志分析,再到漏洞復現和修復,本文暫不涉及溯源取證方面。