首页 > 安全 > 网络安全 > 正文
如何全面防御Webshell(上)?
2017-01-09       个评论      
收藏    我要投稿

如何全面防御Webshell(上)?事实上,互联网上每时每刻都在上演着攻击和防御,本文将会重点的深入分析一下其中一个非常重要的类型:webshell。

初识webshell

接下来将演示3种黑客是如何使劲浑身解数将webshell上传到服务器上的,包括远程文件包含和注入。

将webshell代码隐藏在常见的文件类型中

请求如下:

图片5.png

就像注入中我们会使用–、 ;–、#等字符来进行截断一样,同样的在进行文件包含时,通常用的是?(有时候甚至是%00)。如上请求,攻击者试图让服务器远程包含一个jpg文件,但这真的是一个jpg文件吗?当然不是,我们来看下数据包:

图片6.png

看到没,即使这个文件是jpg后缀,头部也是图片的标准格式,但是实际上它根本不是一个图片文件,关于将代码隐藏在图片中的文章,可以看这篇:点我。接下来分析一下这个隐藏在图片文件中的代码:

图片7.png

类pBot定义了一个数组$config,其中包含了很多配置信息,其中的”server”和”port”指定的就是僵尸主机将要进行连接的C&C服务器的地址。在对irc.malink.biz这个网站进行深入的探究钱,我更想探究一下malink.biz这个域名相关的信息,我们可以在passivetotal上检索一下这个域名的解析记录和WHOIS信息。

1482383471224162.png

以上的信息足够否?接下来直接访问网站,来个更直观的感受。

1482383428726987.png

从该网站的主页上看,好像也得不出什么东西,接下来看一下该网站的IRC信息。

1482383485353692.png

知道这个网站不是一个好网站了吧?

接下来让我们重新将目光聚焦在irc.malink.biz这个域名相关的信息上。

图片11.png

现在来小结一下:来自巴黎的服务器(攻击者)sxxxxxxo.no接收到来自马德里(被黑)主机的针对图片byroe.jpg的下载请求,该图片实际上是一个webshell。在这个文件中,我们发现了一个IRC服务器,该服务器使用了多个ip进行负载均衡的DNS解析(德国,英国,加拿大)。

1482383504757557.png

Virustotal对这个文件的AV检出率貌似还可以。实际上在分析的第一阶段,我们并不建议大家把文件上传到VT上进行检测。比如说,在你将文件上传到VT上之前,你要先检查一下这个文件的hash是不是已经存在。如果不存在的情况下直接将文件上传到VT(要记住VT的数据是公开的),这样可能会打草惊蛇,导致攻击者有进行快速响应的时间。

1482383521407386.png
1482383533976951.png

将webshell代码进行混淆

黑客可能为了隐藏自己的意图,会对代码进行编码和压缩,通过这样的手法来绕过某些WAF的字符拦截和特征拦截。以下请求:

图片15.png

myluph.php文件内容如下[附1.txt]:

图片16.png

这是一个典型的经过混淆的PHP代码,这些代码最后会被eval()函数执行,不过在此之前会进行一些解码:base64 decoded、ROT13、inflated。

点击复制链接 与好友分享!回本站首页
上一篇:智能门锁联网的安全性,能相信吗?
下一篇:最后一页
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站