某省政府電子政務(wù)網(wǎng)案例:
一天上午����,某省政府工作人員打來電話,“省政府的電子政務(wù)網(wǎng)被黑了”�����。安信華攻防人員接到通知后迅速查找問題原因�,首先在用戶Web防火墻最近一個(gè)星期的攻擊日志里,并沒發(fā)現(xiàn)明顯的如SQL注入�����,密碼暴力破解����,危險(xiǎn)的文件上傳的攻擊現(xiàn)象。
是不是服務(wù)器已經(jīng)被黑客留下了后門?帶著這個(gè)疑問�,攻防小組人員用WebShell監(jiān)測工具SpyBackDoorScanner對服務(wù)器網(wǎng)站所在的磁盤進(jìn)行了全面掃描,掃描中發(fā)現(xiàn)了好幾個(gè)可疑文件�����,再經(jīng)手工排查����,確認(rèn)是WebShell木馬后門�����。更為嚴(yán)重的是黑客對木馬文件的代碼進(jìn)行了加密處理�,繞過了Web防火墻和殺毒軟件的查殺�,并且木馬文件建立的時(shí)間在架設(shè)安全設(shè)備之前,甚至�����,有幾個(gè)木馬文件一年前就存在了���。
最后,攻防小組人員在清理了木馬后門后���,為了防止其他原因��,又對網(wǎng)站進(jìn)行了一個(gè)月的跟蹤監(jiān)控�,再未發(fā)現(xiàn)網(wǎng)站再被掛廣告暗鏈的情況���。
1. WebShell的危害
WebShell就是以asp����、php、jsp或者cgi等網(wǎng)頁文件形式存在的─種命令執(zhí)行環(huán)境��,也可以稱為─種網(wǎng)頁后門���。黑客在入侵了網(wǎng)站后����,通常會將這些asp��、php��、aspx�����、jsp后門文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在─起����,然后就可以使用瀏覽器來訪問這些后門,得到命令執(zhí)行環(huán)境����,以達(dá)到控制網(wǎng)站服務(wù)器的目的(可以上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等)���。
2. 后臺得到WebShell的常見方法
直接上傳獲得WebShell:因過濾上傳文件不嚴(yán)����,導(dǎo)致用戶可以直接上傳WebShell到網(wǎng)站任意可寫目錄中�,從而拿到網(wǎng)站的管理員控制權(quán)限;
添加修改上傳類型:現(xiàn)在很多腳本程序上傳模塊不是只允許上傳合法文件類型,大多數(shù)的系統(tǒng)是允許添加上傳類型;
利用后臺管理功能寫入WebShell:進(jìn)入后臺后還可以通過修改相關(guān)文件來寫入WebShell;
利用后臺管理向配置文件寫WebShell;
利用后臺數(shù)據(jù)庫備份及恢復(fù)獲得WebShell:主要是利用后臺對access數(shù)據(jù)庫的“備份數(shù)據(jù)庫”或“恢復(fù)數(shù)據(jù)庫”功能�,“備份的數(shù)據(jù)庫路徑”等變量沒有過濾導(dǎo)致可以把任意文件后綴改為asp,從而得到WebShell;
后臺需要有mysql數(shù)據(jù)查詢功能,我們就可以利用它執(zhí)行SELECT ... in TO OUTFILE查詢輸出php文件���,因?yàn)樗械臄?shù)據(jù)是存放在mysql里的�����,所以我們可以通過正常手段把我們的WebShell代碼插入mysql在利用SELECT ... in TO OUTFILE語句導(dǎo)出shell;
