웹 서버가 제어될 때 데이터베이스를 보고, 파일을 업로드 및 다운로드하고, 모든 프로그램 명령을 실행할 수 있습니다. WebShell 에는 일반 웹 페이지와 동일한 운영 환경 및 서비스 포트가 있습니다. WWW(80) 포트를 통해 원격 호스트와 데이터를 교환하여 바이러스 백신 소프트웨어 감지를 쉽게 피하고 방화벽을 한 번에 통과할 수 있습니다.
전반적으로, WebShell 은 벽경 서버 경비사의 역할을 하며, 한편으로는 웹셸이 웹 사이트 관리, 서버 관리 등에 자주 사용된다. FSO 권한에 따라 웹 스크립트 온라인 편집, 다운로드 파일 업로드, 데이터베이스 보기, 프로그램 명령 실행 등의 기능을 제공합니다. 반면에 침입자는 웹 서버를 제어하는 데 사용됩니다.
이러한 웹 스크립트는 일반적으로 ASP 또는 PHP 트로이 목마와 같은 웹 스크립트 트로이 목마라고 하며 그물. 시스템 응용 프로그램 보호에서 WebShell 감지 렌즈 서버 경비사가 후자입니다.
미러 서버의 수호자인 WebShell 은 다음과 같은 다섯 가지 공격 방식을 가지고 있습니다.
1) 먼저 시스템 프런트를 통해 웹 쉘 스크립트를 웹 서버에 업로드합니다. 이 시점에서 웹 서버는 업로드된 파일의 전체 URL 정보를 클라이언트에 반환합니다. 그런 다음 URL 을 통해 스크립트에 액세스하여 실행할 수 있도록 합니다. 최종 공격자는 웹 사이트의 모든 디렉토리에 미러 서버의 수호자 WebShell 을 업로드하여 관리자 권한을 얻을 수 있습니다.
2) 공격자는 관리자 암호를 사용하여 백그라운드 시스템에 로그인하고, 백그라운드 관리 도구를 사용하여 교수형 서버 경비원 WebShell 을 프로필에 기록하여 모든 스크립트 파일을 업로드할 수 있습니다.
3) 데이터베이스의 백업 복구 기능을 통해 WebShell 을 얻습니다. 데이터베이스를 백업할 때 백업 파일의 확장자를 (으) 로 변경할 수 있습니다. Asp 유형.
4) 시스템의 다른 사이트가 공격을 받거나 웹 서버의 Ftp 서버가 공격당한 후 WebShell 에 주입되면 전체 사이트 시스템이 감염될 수 있습니다.
5) 공격자는 웹 서버의 취약점을 이용하여 직접 공격하여 통제권을 얻습니다.
WebShell 감염 과정 설명:
1) 공격자는 먼저 SQL 주입을 통해 업로드 권한을 얻고, 사이트 간 스크립팅 공격을 받은 다음 WebShell 을 서버에 업로드합니다.
2) WebShell 을 통해 서버 제어를 완료하고 좀비 트로이 목마 이식, 웹 페이지 변조, 민감한 정보 얻기 등 악의적인 기능을 제공합니다.
3) 트로이를 이식하여' 육계' 를 공격하여 전체 웹사이트를 감염시킨다.
3.4. 1.5Linux 에서의 WebShell 공격
Shell 이 명령줄 셸을 튕기는 방식은 운영 체제 하에서 웹 서버 침입에서 Linux 가 힘을 얻는 과정에서 널리 사용되고 있습니다. Linux 에서는 WebShell 이 명령을 실행한 다음 오버플로우를 대화식 환경에서 수행해야 합니다. 그렇지 않으면 권한 상승이 성공해도 완벽하게 사용할 수 없습니다.
따라서 Shell 공격을 완료하려면 셸 명령줄 창을 튕기고 명령줄 터미널 아래에서 overflow 를 실행하고 권한을 올리기만 하면 됩니다.
대부분의 Linux 운영 체제에서 PHP WebShell 은 바운스 연결 함수를 통해 현재 WebShell 권한을 상속하는 셸 명령줄 창을 얻습니다. 바운스 연결 기능을 사용하기 전에 NC 도구를 사용하여 사용되지 않은 포트를 모니터링한 다음 바운스 연결 방법을 선택해야 합니다.
3.4.1.6 웹셸 테스트
WebShell 의 테스트에 대해 베이징 앰프노 네트워크 보안 팀은 자체 개발을 통해 다양한 테스트 수단을 종합하는 테스트 방안을 설계했다.
피쳐 검사 시스템의 핵심은 피쳐 추출이며, 피쳐 선택의 품질은 검사 결과의 품질과 직접 관련이 있습니다. 따라서 피쳐를 선택할 때는 먼저 웹 페이지 자체를 충분히 고려하여 선택한 피쳐가 정적 페이지를 잘 나타낼 수 있도록 해야 합니다. 둘째, 선택한 피쳐에는 페이지의 작업을 반영하는 동적 피쳐도 있어야 합니다.
웹 페이지의 모든 특징을 추출하여 처리하면 변형된 WebShell 은 감지할 수 없고, 특징이 너무 많아 효율성이 영향을 받을 수 있다. 탐지 피쳐가 너무 적으면 오보가 발생할 수 있습니다. 여러 WebShell 라이브러리를 결합하고 회사에서 축적한 피쳐 코드를 추가하여 WebShell 테스트의 기초를 형성하는 매우 강력한 WebShell 기능 라이브러리를 구축했습니다.
기능 라이브러리 일치, base64 인코딩된 기능 라이브러리 일치 및 의심스러운 기능 코드 일치를 통해 스캔의 정확성을 보장하고 오보률을 낮춥니다.
스캔 후 사용자가 참조할 수 있도록 WebShell 의 이름, 유형 등의 세부 정보를 제공할 수 있습니다. 또한 피드백의 경우 "정리", "신뢰 추가" 등의 기능을 선택적으로 수행하여 WebShell 을 감지, 검색 및 처리할 수 있습니다.
피쳐 탐지는 일반적인 WebShell 탐지 방법입니다. Base64 인코딩된 피쳐 매칭의 장점은 일치 정확도가 높고 가상 경보율이 낮다는 것입니다.
그러나 특징 탐지의 한계는 여전히 존재한다. 즉, 오보율과 누락률을 동시에 낮추기 어렵기 때문에 파일을 전면적으로 검사하는 다른 수단이 필요하다.
이런 이유로 Delttime (파일 생성 간격) 과 Fnum (파일 번호 임계값) 의 개념이 마운트 서버 경비병에만 존재합니다. Feature 속성, Delttime 속성 및 Fnum 속성은 Webshell 동적 감지 알고리즘의 세 가지 주요 입력 매개 변수이며, 알고리즘의 가중치는 다양한 매개 변수가 테스트 결과에 미치는 영향에 따라 결정됩니다.
이 알고리즘의 검출 효율은 기존의 고유치 검사보다 훨씬 낮은 것으로 입증되었습니다. 현재, 거울 서버 경비사는 국가 발명 특허를 신청하고 있다. 또한 사용자 편의를 위해 소프트웨어는 사용자에게' 빠른 스캔' 및' 사용자 지정 스캔' 기능을 제공합니다.
구체적인 효과, 다운로드, 렌즈 서버 위사 사용 등을 통해 알 수 있습니다. 감사합니다. 이것이 너에게 도움이 되었으면 좋겠다.