WebShell简介1、WebShell分类• JSP类型• ASP类型• PHP类型2、WebShell用途• 站长工具• 持续远程控制• 权限提升• 极强隐蔽性3、WebShell检测方法• 基于流量的 WebShell 检测• 基于文件的 WebShell 检测• 基于日志的 WebShell 检测WebShell 常规处置方法• 确定入侵时间：文件新建时间或修改时间，确定时间以便依据时间进行溯源分析、追踪攻击者的活动路径• Web 日志分析：通过Web日志进行分析，关注入侵前后的日志记录，从而寻找攻击者的攻击路径• 漏洞分析：通过日志查找攻击路径，溯源找到网站中存在的漏洞，并进行漏洞分析• 漏洞复现：对发现的漏洞进行漏洞复现，从而还原攻击者的活动路径• 漏洞修复：清除WebShell并进行漏洞修复，避免再次攻击；定期进行网站的全面安全检查，及时安装相关补丁【——全网最全的网络安全学习资料包分享给爱学习的你，关注我，私信回复“资料领取”获取——】1.网络安全多个方向学习路线2.全网最全的CTF入门学习资料3.一线大佬实战经验分享笔记4.网安大厂面试题合集5.红蓝对抗实战技术秘籍6.网络安全基础入门、Linux、web安全、渗透测试方面视频WebShell检测——常用工具1、扫描工具• D盾 WebShell 查杀• 扫描工具-D盾：http://www.d99net.net/• 河马 WebShell 查杀• 河马webshell工具：https://www.shellpub.com/• 深信服 WebShellKillerTool• 扫描工具-深信服WebShellKillerTool：https://edr.sangfor.com.cn/#/introduction/wehshell• 安全狗网马查杀2、抓包工具-WiresharkWebshell——模拟攻击1、访问数据库后台访问 http://xxx.xxx.xxx.xxx/phpmyadmin/index.php，发现弱密码 root/root 可以登录到数据库管理的后台2、在变量中查看 general_log 和 general_log_file• 修改 general_log 为 ON• 修改 general_log_file 为网站根目录：C:\Users\Administrator\Desktop\phpstudy\PHPTutorial\WWW\webshell.php3、成功写入一句话木马4、写入成功，访问 http://xxx.xxx.xxx.xxx/webshell.php 测试连接成功5、蚁剑连接 webshell 进行利用应急响应——事件处置1、webshell排查• 通过告警定位到告警文件，查看文件内容，确认为 webshell 后门• 通过wireshark流量分析，发现有来自 xxx.xxx.xxx.118 的数据请求，判定为蚁剑工具连接webshell，木马文件为 /webshell.php2、查看 webshell 文件• 查看内容发现为一句话木马，并且以日志的方式写入• 查看文件上传的时间3、全盘查杀木马文件，并清除• 使用工具查杀是否还存在 webshell• 删除木马文件4、修复漏洞• 溯源发现攻击者是通过日志文件写入webshell的，将 general_log 配置改为 OFF• 所以修改日志配置，并且修改 phpMyAdmin 登录的密码应急响应——根除与恢复1、服务器断网，清理webshell及恶意程序2、对服务器进行加固，更改应用及系统密码，修补漏洞3、清理完成确认安全后，重新部署上线