• ASP类型
• PHP类型
2、WebShell用场• 站长工具
• 持续远程掌握
• 权限提升
• 极强暗藏性
3、WebShell检测方法• 基于流量的 WebShell 检测
• 基于文件的 WebShell 检测
• 基于日志的 WebShell 检测
WebShell 常规处置方法• 确定入侵韶光:文件新建韶光或修正韶光,确定韶光以便依据韶光进行溯源剖析、追踪攻击者的活动路径
• Web 日志剖析:通过Web日志进行剖析,关注入侵前后的日志记录,从而探求攻击者的攻击路径
• 漏洞剖析:通过日志查找攻击路径,溯源找到网站中存在的漏洞,并进行漏洞剖析
• 漏洞复现:对创造的漏洞进行漏洞复现,从而还原攻击者的活动路径
• 漏洞修复:打消WebShell并进行漏洞修复,避免再次攻击;定期进行网站的全面安全检讨,及时安装干系补丁
【——全网最全的网络安全学习资料包分享给爱学习的你,关注我,私信回答“资料领取”获取——】1.网络安全多个方向学习路线2.全网最全的CTF入门学习资料3.一线大佬实战履历分享条记4.网安大厂口试题合集5.红蓝对抗实战技能秘籍6.网络安全根本入门、Linux、web安全、渗透测试方面视频
WebShell检测——常用工具1、扫描工具
• D盾 WebShell 查杀
• 扫描工具-D盾:http://www.d99net.net/
• 河马 WebShell 查杀
• 河马webshell工具:https://www.shellpub.com/
• 深信服 WebShellKillerTool
• 扫描工具-深信服WebShellKillerTool:
https://edr.sangfor.com.cn/#/introduction/wehshell
• 安全狗网马查杀
2、抓包工具-WiresharkWebshell——仿照攻击1、访问数据库后台访问 http://xxx.xxx.xxx.xxx/phpmyadmin/index.php,创造弱密码 root/root 可以登
录到数据库管理的后台
2、在变量中查看 general_log 和 general_log_file• 修正 general_log 为 ON
• 修正 general_log_file 为网站根目录:
C:\Users\Administrator\Desktop\phpstudy\PHPTutorial\WWW\webshell.php
3、成功写入一句话木马4、写入成功,访问 http://xxx.xxx.xxx.xxx/webshell.php 测试连接成功5、蚁剑连接 webshell 进行利用应急相应——事宜处置1、webshell排查• 通过告警定位到告警文件,查看文件内容,确认为 webshell 后门
• 通过wireshark流量剖析,创造有来自 xxx.xxx.xxx.118 的数据要求,剖断为蚁剑工具连接
webshell,木马文件为 /webshell.php
2、查看 webshell 文件
• 查看内容创造为一句话木马,并且以日志的办法写入
• 查看文件上传的韶光
3、通盘查杀木马文件,并打消
• 利用工具查杀是否还存在 webshell
• 删除木马文件
4、修复漏洞
• 溯源创造攻击者是通过日志文件写入webshell的,将 general_log 配置改为 OFF
• 以是修正日志配置,并且修正 phpMyAdmin 登录的密码
应急相应——拔除与规复
1、做事器断网,清理webshell及恶意程序
2、对做事器进行加固,变动运用及系统密码,修补漏洞
3、清理完成确认安全后,重新支配上线
