网站中被植入Webshell,通常代表着网站中存在可利用的高危漏洞,攻击者利用这些漏洞,将Webshell写入网站,从而获取网站的控制权。一旦在网站中发现webshell文件,可采取以下步骤进行临时处置。
入侵确定时间
- 通过在网站目录发现的Webshell文件的创建时间,判断攻击者实施攻击的时间范围,以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。如图所示,通过Webshell文件的创建时间,可以初步判断攻击者的入侵时间为2017年7月8日,1:02:10
Web日志分析
- 对访问网站的Web日志进行分析,重点关注已知的入侵时间前后的日志记录,从而寻找攻击者的攻击路径,以及所利用的漏洞。如图所示。分析Web日志发现在文件创建的时间节点并未有可疑文件上传,但存在可疑的Webservice接口,这里需要注意的是,一般应用服务器默认日志不记录Post请求内容。
漏洞分析
- 通过日志中发现的问题,针对攻击者的活动路径,可排查网站中存在的漏洞,并进行分析。如图所示,针对发现的可疑接口Webservice,访问发现变量buffer、distinctPath、newFileName可以在客户端自定义,导致任意文件都可上传。
漏洞复现
- 对已发现的漏洞进行漏洞复现,从而还原攻击者的活动路径。如图所示,对已发现的漏洞进行复现,成功上传Webshell,并获取了网站服务器的控制权,如图所示。
漏洞修复
- 清除已发现的Webshell文件,并修复漏洞。为避免再次受到攻击,网站管理员定期对网站服务器进行全面的安全检查,及时安装相关版本补丁,修复已存在的漏洞等。