你所不知道的Webshell--基础篇

Webshell利用的起因

企业对外提供服务的应用通常以Web形式呈现，因此Web站点经常成为攻击者的攻击目标。

攻击者找到Web站点可利用的漏洞后，为了扩大战果或维持对目标站点的控制权限，通常会在Web站点植入Webshell程序。

Webshell是以网页文件形式存在的一种命令执行环境，也可以将其称为网页后门。

根据Web服务器环境的不同，Webshell分为asp、php、jsp、cgi等类型，攻击者在获得网站目录的写入权限后，把Webshell上传到Web目录下，通过浏览器访问或者特定的客户端程序来连接Webshell，实现对Web服务器的控制。

防护技巧

攻击者一般会使用网站的文件上传功能进行webshell上传，或利用命令执行、代码执行等漏洞植入webshell。因为Webshell需要Web服务对其进行解析才可执行，因此攻击者会将其植入到Web应用相关目录中，用户可使用以下措施进行防护：

第一式：正本清源，防患未然

1）安全编码，只允许用户上传图片、文档等媒体文件；

2）检查Web应用目录下文件夹和文件的权限，确保运行Web应用的用户只对特定的目录有写入权限（如图片上传目录）。

3）修改Web服务器配置，不解析具有写入权限目录下的文件；

4）在Web服务器或者WAF设备限制对可写目录的访问，只允许访问特定类型的文件（如jpg、png等）。

第二式：内外双修，双剑合并

1）收敛攻击面--后台管理界面防护

Web应用的后台管理界面与Web应用服务器的管理控制台也是攻击者的目标，如果后台管理界面存在安全漏洞或弱口令等问题，攻击者就可以通过管理界面上传Webshell。

建议针对后台管理界面做好以下安全防护：

a.做好Web应用的访问控制，可以采用管理侧与用户侧分离的形式，也可以通过IP白名单控制管理侧访问权限；

b. 定期检查后台管理用户，确保用户列表、用户权限无异常，不存在弱口令账户。

2）增加攻击成本--产品检测防护

2.1）通过网络安全设备检测防护

在网络上部署WAF、IPS/IDS设备，对任意文件上传、命令执行、代码执行等漏洞进行防护：

a. 攻击者通常通过HTTP协议把Webshell上传到Web服务器，网络安全设备能够从网络数据包中检测到Webshell文件的内容，从而发现Webshell上传行为；

b. 客户端跟Webshell的交互存在特征，网络安全设备能够检测到Webshell的访问行为。

2.2）通过主机安全产品检测防护

Webshell会以文件的形式写到服务器上，在服务器上安装防病毒、EDR等安全产品，可以对传到服务器上的文件进行实时的检测，实时发现和清理Webshell文件。

第三式：苟日新 日日新 又日新-定期检查

安全攻防技术一直在不断更新，Webshell会随着代码改变而产生灵活变化，可能会因为安全防护措施不够完善、现有的安全防护产品尚且无法对某些新型Webshell进行检测而被攻击者突破，因此有必要对Web服务器进行定期的安全检查。

建议从以下方面进行检查：

1）使用新版的Webshell安全检查工具对Web应用目录下的文件进行扫描，清除可能存在的Webshell。

2）检查Web应用目录近期新增的脚本文件(.asp/.php/.jsp等)，确认文件是否为正常业务更新文件。

3）对Web应用的访问日志进行分析，检查正常业务访问以外的日志，看是否存在Webshell访问痕迹，尤其需要关注HTTP响应状态码为200的可疑访问。

实例

为了能更深层次的理解Webshell的检测与防护，下面以近两年攻防演练中常见的冰蝎Webshell为例，说明如何使用WAF、IPS/IDS等产品进行检测防护。

冰蝎Webshell为近年来十分流行的一种Webshell，具有php、asp、aspx、jsp、jspx 5种类型，其特征如下：

a. 冰蝎Webshell在连接时，会先获取动态密钥，再利用动态密钥以AES128对称加密的形式对Webshell传输数据进行加密；

b.冰蝎Webshell相对于其他Webshell，文件中的恶意代码特征较少。

这也是在2019年前期冰蝎Webshell能够较好地避开WAF、IPS/IDS等网络安全防护设备的检测，被大范围使用并流行的原因。

目前针对利用冰蝎Webshell进行的攻击，可以采用WAF、IPS/IDS产品对其上传及通信过程进行检测和防护。

WAF防护：

1）WAF 已有防护规则：

版本：6.0.7.1.43705

[8912973]:behinder_request

[8912974]:behinder_response

2）手工创建防护规则：

a.开启非法文件上传防护。

b. 禁止以下文件扩展名的文件进行上传：exe;php;php3;php5;pht.phtml;asp;java;jsp;jspx;py;sh;bat;asa;cer;aspx 。

防护效果：

a. 上传非法文件的拦截效果：

b. 利用冰蝎Webshell访问的行为拦截效果：

IPS/IDS 检测防护规则：

版本：5.6.10.21238 攻击[24553]:冰蝎 Webshell 连接

版本：5.6.10.20507