安信華攻防專家談：WebShell的防護(hù)

責(zé)任編輯：sjia |來源：企業(yè)網(wǎng)D1Net 2012-06-20 15:09:25 原創(chuàng)文章企業(yè)網(wǎng)D1Net

某省政府電子政務(wù)網(wǎng)案例：

一天上午，某省政府工作人員打來電話，“省政府的電子政務(wù)網(wǎng)被黑了”。安信華攻防人員接到通知后迅速查找問題原因，首先在用戶Web防火墻最近一個星期的攻擊日志里，并沒發(fā)現(xiàn)明顯的如SQL注入，密碼暴力破解，危險(xiǎn)的文件上傳的攻擊現(xiàn)象。

是不是服務(wù)器已經(jīng)被黑客留下了后門？帶著這個疑問，攻防小組人員用WebShell監(jiān)測工具SpyBackDoorScanner對服務(wù)器網(wǎng)站所在的磁盤進(jìn)行了全面掃描，掃描中發(fā)現(xiàn)了好幾個可疑文件，再經(jīng)手工排查，確認(rèn)是WebShell木馬后門。更為嚴(yán)重的是黑客對木馬文件的代碼進(jìn)行了加密處理，繞過了Web防火墻和殺毒軟件的查殺，并且木馬文件建立的時間在架設(shè)安全設(shè)備之前，甚至，有幾個木馬文件一年前就存在了。

最后，攻防小組人員在清理了木馬后門后，為了防止其他原因，又對網(wǎng)站進(jìn)行了一個月的跟蹤監(jiān)控，再未發(fā)現(xiàn)網(wǎng)站再被掛廣告暗鏈的情況。

1. WebShell的危害

WebShell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的─種命令執(zhí)行環(huán)境，也可以稱為─種網(wǎng)頁后門。黑客在入侵了網(wǎng)站后，通常會將這些asp、php、aspx、jsp后門文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在─起，然后就可以使用瀏覽器來訪問這些后門，得到命令執(zhí)行環(huán)境，以達(dá)到控制網(wǎng)站服務(wù)器的目的（可以上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等）。

2. 后臺得到WebShell的常見方法

直接上傳獲得WebShell：因過濾上傳文件不嚴(yán)，導(dǎo)致用戶可以直接上傳WebShell到網(wǎng)站任意可寫目錄中，從而拿到網(wǎng)站的管理員控制權(quán)限；

添加修改上傳類型：現(xiàn)在很多腳本程序上傳模塊不是只允許上傳合法文件類型，大多數(shù)的系統(tǒng)是允許添加上傳類型；

利用后臺管理功能寫入WebShell：進(jìn)入后臺后還可以通過修改相關(guān)文件來寫入WebShell；

利用后臺管理向配置文件寫WebShell；

利用后臺數(shù)據(jù)庫備份及恢復(fù)獲得WebShell：主要是利用后臺對access數(shù)據(jù)庫的“備份數(shù)據(jù)庫”或“恢復(fù)數(shù)據(jù)庫”功能，“備份的數(shù)據(jù)庫路徑”等變量沒有過濾導(dǎo)致可以把任意文件后綴改為asp，從而得到WebShell；

后臺需要有mysql數(shù)據(jù)查詢功能,我們就可以利用它執(zhí)行SELECT ... in TO OUTFILE查詢輸出php文件，因?yàn)樗械臄?shù)據(jù)是存放在mysql里的，所以我們可以通過正常手段把我們的WebShell代碼插入mysql在利用SELECT ... in TO OUTFILE語句導(dǎo)出shell；

3. WebShell的隱蔽性

有些惡意網(wǎng)頁腳本可以嵌套在正常網(wǎng)頁中運(yùn)行，且不容易被查殺。WebShell可以穿越服務(wù)器防火墻，由于與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過80端口傳遞的，因此不會被防火墻攔截。并且使用WebShell一般不會在系統(tǒng)日志中留下記錄，只會在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄，沒有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡。

4. 安信華WebShell威脅防護(hù)解決方案

北京安信華科技有限公司（Anchiva Systems Ltd.,）是一家在網(wǎng)絡(luò)及內(nèi)容安全領(lǐng)域擁有自主創(chuàng)新產(chǎn)品的高新技術(shù)企業(yè)，公司匯集了大批網(wǎng)絡(luò)安全領(lǐng)域的優(yōu)秀人才，創(chuàng)辦人和高管曾經(jīng)在思科、Netscreen、天融信、網(wǎng)御星云等國內(nèi)外著名安全設(shè)備廠商中擔(dān)任重要職務(wù)。公司致力于為各類型客戶提供更清潔的Internet內(nèi)容。總部現(xiàn)設(shè)在北京，互聯(lián)網(wǎng)安全實(shí)驗(yàn)室位于杭州，并在廣州、上海、杭州、南京、鄭州設(shè)有辦事處，產(chǎn)品及服務(wù)遍及國內(nèi)外多個區(qū)域。

安信華互聯(lián)網(wǎng)安全實(shí)驗(yàn)室，由經(jīng)驗(yàn)豐富的病毒分析師和威脅研究員組成，他們戰(zhàn)略性的分布在中國、北美和歐洲，負(fù)責(zé)監(jiān)測、采集與研究互聯(lián)網(wǎng)中傳播的惡意代碼，構(gòu)建覆蓋全球的云安全服務(wù)平臺。實(shí)驗(yàn)室提供7X24小時Malware特征庫、惡意站點(diǎn)庫、URL分類庫、Web威脅特征庫、僵尸網(wǎng)絡(luò)數(shù)據(jù)庫、應(yīng)用協(xié)議特征庫不間斷升級服務(wù)，并且支持啟發(fā)式掃描技術(shù)和“零日保護(hù)”計(jì)劃，確保用戶網(wǎng)絡(luò)隨時處在最新安全技術(shù)的保護(hù)下。

1. 人工加固

對ftp進(jìn)行權(quán)限設(shè)置，取消匿名訪問。

對目錄進(jìn)行權(quán)限設(shè)置，不同網(wǎng)站使用不同的用戶權(quán)限。

對系統(tǒng)盤的敏感目錄及文件進(jìn)行權(quán)限設(shè)置，提高系統(tǒng)安全性。

定期更新服務(wù)器補(bǔ)丁，定期更新殺毒軟件。

2. 部署安信華Web防火墻

由于人工加固繁瑣和可能存在的疏忽，我們建議在Web服務(wù)器前面部署Web防火墻設(shè)備，能夠防御4000多種WebShell是安信華Web防火墻的一大特色。

可針對WebShell上傳，進(jìn)行控制、過濾與阻斷；

實(shí)時阻斷入侵者利用SQL注入、XSS攻擊、緩沖區(qū)溢出攻擊等獲得web站點(diǎn)的目錄修改權(quán)限；

支持對WebShell訪問返回頁面進(jìn)行內(nèi)容檢測，切斷入侵者企圖調(diào)用訪問WebShell的行為；

支持實(shí)時檢測過濾WebShell發(fā)起的各種攻擊命令，阻斷利用WebShell發(fā)起的掛馬、文件下載、端口掃描、內(nèi)容篡改等各種攻擊和非法操作；

圖：安信華Web防火墻設(shè)備攔截的webshell上傳日志