Web應急:網站被植入Webshell
網站被植入webshell,意味着網站存在可利用的高危漏洞,攻擊者經過利用漏洞入侵網站,寫入webshell接管網站的控制權。爲了獲得權限 ,常規的手段如:先後臺任意文件上傳,遠程命令執行,Sql注入寫入文件等。linux
現象描述
網站管理員在站點目錄下發現存在webshell,因而開始了對入侵過程展開了分析。web
Webshell查殺工具:shell
D盾_Web查殺 Window下webshell查殺:http://www.d99net.net/index.asp服務器
河馬:支持多平臺,可是須要聯網環境。工具
使用方法: wget http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz tar xvf hm-linux-amd64.tgz hm scan /www網站
事件分析
一、 定位時間範圍
經過發現的webshell文件建立時間點,去翻看相關日期的訪問日誌。.net
二、Web 日誌分析
通過日誌分析,在文件建立的時間節點並未發現可疑的上傳,但發現存在可疑的webservice接口3d
三、漏洞分析
訪問webservice接口,發現變量:buffer、distinctpach、newfilename能夠在客戶端自定義日誌
四、漏洞復現
嘗試對漏洞進行復現,可成功上傳webshell,控制網站服務器blog
五、漏洞修復
清除webshell並對webservice接口進行代碼修復。
從發現webshell到日誌分析,再到漏洞復現和修復,本文暫不涉及溯源取證方面。
相關文章
- 1. Web應急:網站被植入Webshell
- 2. Web應急:網站首頁被篡改
- 3. 網站被植入Webshell的解決方案
- 4. Web應急:網站被批量掛黑頁
- 5. web-網站被黑
- 6. Webshell事件應急演練預案
- 7. 利用SQL注入植入 webshell
- 8. 網站被掛馬緊急響應及恢復
- 9. web——網站被黑(60)——Bugku
- 10. Bugku-WEB-網站被黑
- 更多相關文章...
- • ASP.NET Web Pages - 發佈網站 - ASP.NET 教程
- • 網站 域名 - 網站主機教程
- • YAML 入門教程
- • TiDB 在摩拜單車在線數據業務的應用和實踐
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. Web應急:網站被植入Webshell
- 2. Web應急:網站首頁被篡改
- 3. 網站被植入Webshell的解決方案
- 4. Web應急:網站被批量掛黑頁
- 5. web-網站被黑
- 6. Webshell事件應急演練預案
- 7. 利用SQL注入植入 webshell
- 8. 網站被掛馬緊急響應及恢復
- 9. web——網站被黑(60)——Bugku
- 10. Bugku-WEB-網站被黑