某省政府電子政務(wù)網(wǎng)案例:
一天上午,某省政府工作人員打來電話,“省政府的電子政務(wù)網(wǎng)被黑了”。安信華攻防人員接到通知后迅速查找問題原因,首先在用戶Web防火墻最近一個(gè)星期的攻擊日志里,并沒發(fā)現(xiàn)明顯的如SQL注入,密碼暴力破解,危險(xiǎn)的文件上傳的攻擊現(xiàn)象。
是不是服務(wù)器已經(jīng)被黑客留下了后門?帶著這個(gè)疑問,攻防小組人員用WebShell監(jiān)測(cè)工具SpyBackDoorScanner對(duì)服務(wù)器網(wǎng)站所在的磁盤進(jìn)行了全面掃描,掃描中發(fā)現(xiàn)了好幾個(gè)可疑文件,再經(jīng)手工排查,確認(rèn)是WebShell木馬后門。更為嚴(yán)重的是黑客對(duì)木馬文件的代碼進(jìn)行了加密處理,繞過了Web防火墻和殺毒軟件的查殺,并且木馬文件建立的時(shí)間在架設(shè)安全設(shè)備之前,甚至,有幾個(gè)木馬文件一年前就存在了。
最后,攻防小組人員在清理了木馬后門后,為了防止其他原因,又對(duì)網(wǎng)站進(jìn)行了一個(gè)月的跟蹤監(jiān)控,再未發(fā)現(xiàn)網(wǎng)站再被掛廣告暗鏈的情況。
1. WebShell的危害
WebShell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的─種命令執(zhí)行環(huán)境,也可以稱為─種網(wǎng)頁后門。黑客在入侵了網(wǎng)站后,通常會(huì)將這些asp、php、aspx、jsp后門文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在─起,然后就可以使用瀏覽器來訪問這些后門,得到命令執(zhí)行環(huán)境,以達(dá)到控制網(wǎng)站服務(wù)器的目的(可以上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等)。
2. 后臺(tái)得到WebShell的常見方法
直接上傳獲得WebShell:因過濾上傳文件不嚴(yán),導(dǎo)致用戶可以直接上傳WebShell到網(wǎng)站任意可寫目錄中,從而拿到網(wǎng)站的管理員控制權(quán)限;
添加修改上傳類型:現(xiàn)在很多腳本程序上傳模塊不是只允許上傳合法文件類型,大多數(shù)的系統(tǒng)是允許添加上傳類型;
利用后臺(tái)管理功能寫入WebShell:進(jìn)入后臺(tái)后還可以通過修改相關(guān)文件來寫入WebShell;
利用后臺(tái)管理向配置文件寫WebShell;
利用后臺(tái)數(shù)據(jù)庫備份及恢復(fù)獲得WebShell:主要是利用后臺(tái)對(duì)access數(shù)據(jù)庫的“備份數(shù)據(jù)庫”或“恢復(fù)數(shù)據(jù)庫”功能,“備份的數(shù)據(jù)庫路徑”等變量沒有過濾導(dǎo)致可以把任意文件后綴改為asp,從而得到WebShell;
后臺(tái)需要有mysql數(shù)據(jù)查詢功能,我們就可以利用它執(zhí)行SELECT ... in TO OUTFILE查詢輸出php文件,因?yàn)樗械臄?shù)據(jù)是存放在mysql里的,所以我們可以通過正常手段把我們的WebShell代碼插入mysql在利用SELECT ... in TO OUTFILE語句導(dǎo)出shell;
3. WebShell的隱蔽性
有些惡意網(wǎng)頁腳本可以嵌套在正常網(wǎng)頁中運(yùn)行,且不容易被查殺。WebShell可以穿越服務(wù)器防火墻,由于與被控制的服務(wù)器或遠(yuǎn)程主機(jī)交換的數(shù)據(jù)都是通過80端口傳遞的,因此不會(huì)被防火墻攔截。并且使用WebShell一般不會(huì)在系統(tǒng)日志中留下記錄,只會(huì)在網(wǎng)站的web日志中留下一些數(shù)據(jù)提交記錄,沒有經(jīng)驗(yàn)的管理員是很難看出入侵痕跡。
4. 安信華WebShell威脅防護(hù)解決方案
北京安信華科技有限公司(Anchiva Systems Ltd.,)是一家在網(wǎng)絡(luò)及內(nèi)容安全領(lǐng)域擁有自主創(chuàng)新產(chǎn)品的高新技術(shù)企業(yè),公司匯集了大批網(wǎng)絡(luò)安全領(lǐng)域的優(yōu)秀人才,創(chuàng)辦人和高管曾經(jīng)在思科、Netscreen、天融信、網(wǎng)御星云等國內(nèi)外著名安全設(shè)備廠商中擔(dān)任重要職務(wù)。公司致力于為各類型客戶提供更清潔的Internet內(nèi)容。總部現(xiàn)設(shè)在北京,互聯(lián)網(wǎng)安全實(shí)驗(yàn)室位于杭州,并在廣州、上海、杭州、南京、鄭州設(shè)有辦事處,產(chǎn)品及服務(wù)遍及國內(nèi)外多個(gè)區(qū)域。
安信華互聯(lián)網(wǎng)安全實(shí)驗(yàn)室,由經(jīng)驗(yàn)豐富的病毒分析師和威脅研究員組成,他們戰(zhàn)略性的分布在中國、北美和歐洲,負(fù)責(zé)監(jiān)測(cè)、采集與研究互聯(lián)網(wǎng)中傳播的惡意代碼,構(gòu)建覆蓋全球的云安全服務(wù)平臺(tái)。實(shí)驗(yàn)室提供7X24小時(shí)Malware特征庫、惡意站點(diǎn)庫、URL分類庫、Web威脅特征庫、僵尸網(wǎng)絡(luò)數(shù)據(jù)庫、應(yīng)用協(xié)議特征庫不間斷升級(jí)服務(wù),并且支持啟發(fā)式掃描技術(shù)和“零日保護(hù)”計(jì)劃,確保用戶網(wǎng)絡(luò)隨時(shí)處在最新安全技術(shù)的保護(hù)下。
1. 人工加固
對(duì)ftp進(jìn)行權(quán)限設(shè)置,取消匿名訪問。
對(duì)目錄進(jìn)行權(quán)限設(shè)置,不同網(wǎng)站使用不同的用戶權(quán)限。
對(duì)系統(tǒng)盤的敏感目錄及文件進(jìn)行權(quán)限設(shè)置,提高系統(tǒng)安全性。
定期更新服務(wù)器補(bǔ)丁,定期更新殺毒軟件。
2. 部署安信華Web防火墻
由于人工加固繁瑣和可能存在的疏忽,我們建議在Web服務(wù)器前面部署Web防火墻設(shè)備,能夠防御4000多種WebShell是安信華Web防火墻的一大特色。
可針對(duì)WebShell上傳,進(jìn)行控制、過濾與阻斷;
實(shí)時(shí)阻斷入侵者利用SQL注入、XSS攻擊、緩沖區(qū)溢出攻擊等獲得web站點(diǎn)的目錄修改權(quán)限;
支持對(duì)WebShell訪問返回頁面進(jìn)行內(nèi)容檢測(cè),切斷入侵者企圖調(diào)用訪問WebShell的行為;
支持實(shí)時(shí)檢測(cè)過濾WebShell發(fā)起的各種攻擊命令,阻斷利用WebShell發(fā)起的掛馬、文件下載、端口掃描、內(nèi)容篡改等各種攻擊和非法操作;
圖:安信華Web防火墻設(shè)備攔截的webshell上傳日志
3. 利用WebShell監(jiān)測(cè)工具定期全盤掃描
WebShell監(jiān)測(cè)工具是由安信華互聯(lián)網(wǎng)安全實(shí)驗(yàn)室攻防專員BY AY暗影提供
本軟件由北京安信華科技有限公司免費(fèi)提供;
綠色版本,無需安裝。操作簡(jiǎn)單,不需要.net組件或者其他組件;
支持檢測(cè)系統(tǒng)畸形文件夾,比如文件夾名為 test..\ 、 lpt8.asp;
支持檢測(cè)aux、lpt8、con等等系統(tǒng)設(shè)備文件名的文件;
同時(shí)支持32位和64位操作系統(tǒng);掃描速度快;