攻擊者向服務(wù)器中添加惡意后門工具,以實(shí)現(xiàn)對整個(gè)服務(wù)器的控制
WebShell是可以在系統(tǒng)上運(yùn)行并且可以遠(yuǎn)程管理電腦的腳本或代碼(以PHP、Perl、Python等腳本語言編寫而成)���。盡管很多時(shí)候WebShell可以用作遠(yuǎn)程管理工具�,但是它們也很有可能會被惡意軟件編寫者利用,作為入侵網(wǎng)站的工具�。一旦攻擊者可以在Web服務(wù)器上執(zhí)行此腳本,他就獲得了對托管操作系統(tǒng)外殼程序的訪問權(quán)限��,與Web服務(wù)器擁有相同的特權(quán)��。為了躲避防火墻或殺毒軟件的檢測�,攻擊者通常會采用代碼混淆與加密等規(guī)避技術(shù)。企業(yè)需要完整的內(nèi)容檢測方法來檢測并攔截WebShell的傳播�,并且可以采用各種常見混淆技術(shù)或解密腳本來揭露其真正意圖。
以下是Websense安全專家檢測到的另一起網(wǎng)絡(luò)攻擊�����。在此次攻擊中��,攻擊者利用了一個(gè)名為"oRb"的自定義WebShell�����。該WebShell本身可以通過混淆技術(shù)來躲避檢測��,并且使用了帶有"e"修飾符的preg_replace函數(shù)�。此外,通過在標(biāo)題中聲明文件類型是圖形文件���,服務(wù)于此WebShell的URL也在試圖誤導(dǎo)系統(tǒng)安全工具�。
一旦WebShell腳本在網(wǎng)絡(luò)中運(yùn)行��,就會為服務(wù)器的遠(yuǎn)程操作提供相應(yīng)的Web接口:服務(wù)器信息�、文件管理器(訪問文件系統(tǒng))、訪問執(zhí)行命令�����、SQL管理器���、PHP代碼執(zhí)行���、搜索文件與文件中的文本、上傳惡意內(nèi)容�����、注入大量代碼等�����,為企業(yè)網(wǎng)絡(luò)帶來了極大的安全威脅。
Websense安全專家表示�����,Websense作為Web安全行業(yè)的領(lǐng)軍企業(yè)��,始終致力于保護(hù)用戶免受各種網(wǎng)絡(luò)攻擊的侵害���。具有實(shí)時(shí)掃描功能的Websense ACE?(高級分類引擎)可以檢測各種混淆方法與技術(shù)��,阻止用戶對惡意WebShell或網(wǎng)頁的訪問�����,并監(jiān)控出站內(nèi)容�,防止敏感數(shù)據(jù)離開企業(yè)網(wǎng)絡(luò)�����,為企業(yè)網(wǎng)絡(luò)提供實(shí)時(shí)的安全防護(hù)��。同時(shí)����,Websense ThreatSeeker網(wǎng)絡(luò)作為具有網(wǎng)絡(luò)識別功能的最大規(guī)模智能網(wǎng)絡(luò),每天可以處理近50億的Web請求�����,為企業(yè)提供實(shí)時(shí)的安全分析更新��。
