WebShell攻击检测
一、WebShell的危害
通过对“Webshell攻击”的整体分析,我们发现Webshell不知不觉为人们带来了很多危害,一旦黑客拿到了网站的WebShell,就可以修改网站的文件了!这样,网站将不再有秘密可言。如果入侵者通过执行命令,提升网站的权限后,就可以发展到入侵服务器,进而创建管理用户,达到控制整台服务器的目的。因此,无论是网站开发人员还是业界的同胞,都要提高对Webshell攻击的警惕,时刻关注网站是否存在漏洞,防止其被上传WebShell,造成严重的后果。
二、如何防御WebShell攻击
1、Web软件开发的安全
A、程序中存在文件上载的漏洞,攻击者利用漏洞上载木马程序文件。
B、防sql注入、防暴库、防COOKIES欺骗、防跨站脚本攻击。
2、服务器的安全和web服务器的安全
A、服务器做好各项安全设置,病毒和木马检测软件的安装(注:webshell的木马程序不能被该类软件检测到),启动防火墙并关闭不需要的端口和服务。
B、提升web服务器的安全设置
C、对以下命令进行权限控制(以windows为例): cmd.exe net.exe net1.exe ping.exe netstat.exe ftp.exe tftp.exe telnet.exe
3、ftp文件上载安全
设置好ftp服务器,防止攻击者直接使用ftp上传木马程序文件到web程序的目录中
4、文件系统的存储权限
设置好web程序目录及系统其它目录的权限,相关目录的写权限只赋予给超级用户,部分目录写权限赋予给系统用户。
将web应用和上传的任何文件(包括)分开,保持web应用的纯净,而文件的读取可以采用分静态文件解析服务器和web服务器两种服务器分 别读取(Apache/Nginx加tomcat等web服务器),或者图片的读取,有程序直接读文件,以流的形式返回到客户端。
5、不要使用超级用户运行web服务
对于apache、tomcat等web服务器,安装后要以系统用户或指定权限的用户运行,如果系统中被植入了asp、php、jsp等木马程序文件,以超级用户身份运行,webshell提权后获得超级用户的权限进而控制整个系统和计算机。
三、WebSehll测试概述
1、环境搭建
网上有很多例子,通常可以使用mysql+nginx+php的方式来搭建一个简单的论坛,用于测试使用。
搭建好的论坛如下图所示。
2、WebShell制作
简单的制作一句话木马:<?php phpinfo();?>,保存为如下形式:test.php.jpg
3、WebShell上传
找到可以上传的点,结合BurpSuit测试工具来进行上传测试。
关于BurpSuit的使用方法,可以参考我之前发过的文章 ----BurpSuite工具使用心得
下面简单举例说明。
00截断测试
打开burpsuit设置代理服务器进行数据包拦截
在文件名处的test.php后加空格,在16进制信息形式处找到添加的空格(20),将其修改为00.
返回文界面,发现空格消失
forword提交,如果存在00截断漏洞,即可成功上传webshell了。
扩展名变换测试
创建一句话木马文件test.php,内容与之前相同
打开burpsuit进行数据包拦截,将文件后缀改为.php5
forward提交,如果存在扩展名验证问题,即可成功上传。
WebShell攻击检测相关推荐
- apache日志 waf_WAF对WebShell流量检测的性能分析
最近在一次授权渗透测试中遇到了一个棘手的场景,万能的队友已经找到了后台上传点,并传了小马然后开心地用antsword进行连接,但是由于明文传输很快被waf感知,并引起了管理员的注意,很快我们的马被清了 ...
- php 读取注册表 不用wscript.shell,WebShell的检测技术_91Ri.org
一.Webshell 的常见植入方法 -启明星辰 Leylo Trent WebShell 攻击是常见的用来控制Web 服务器的攻击方法,WebShell 文件通常是可执行的脚本文件,例如asp, ...
- 红蓝对抗之常见网络安全事件研判、了解网络安全设备、Webshell入侵检测
文章首发于freebuf:https://www.freebuf.com/articles/network/317851.html 文章目录 研判(入侵检测) 设备 经典网络 云网络 异常HTTP请求 ...
- WebShell后门检测与WebShell箱子反杀
今天继续给大家介绍渗透测试相关知识,本文主要内容是WebShell后门检测与WebShell箱子反杀. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果 ...
- [应急响应]7款WebShell扫描检测查杀工具
1.D盾 防火墙 阿D出品,免费,GUI,WebShell扫描检测查杀 功能特性简介 支持系统:win2003/win2008/win2012/win2016 PHP支持:FastCGI/ISAPI ...
- 【服务器防护】WEB防护 - WEBSHELL攻击探测【转载】
1.概述 笔者一直在关注webshell的安全分析,最近就这段时间的心得体会和大家做个分享. webshell一般有三种检测方式: 基于流量模式基于agent模式(实质是直接分析webshell文件) ...
- 对抗样本无法被重建!CMU提出通用的无监督对抗攻击检测方法
作者 | Ben Dickson 编译 | 琰琰 机器学习在应用程序中的广泛使用,引起了人们对潜在安全威胁的关注.对抗性攻击( adversarial attacks)是一种常见且难以察觉的威胁手段, ...
- PHP用户输入安全过滤和注入攻击检测
摘抄自ThinkPHP /*** 获取变量 支持过滤和默认值* @param array $data 数据源* @param string|false $name 字段名* @param mixed ...
- 赛可达推病毒攻击检测和情报分享服务
本文讲的是赛可达推病毒攻击检测和情报分享服务,近日,国际知名第三方测评认证机构--赛可达实验室隆重推出病毒攻击检测和情报分享服务(简称"SKD-VS"). 据赛可达实验室CEO宋继 ...
最新文章
- linux终端vi退出命令,如何从命令行关闭vim?
- 最近工作好忙,自己的软件又得落下很长一段时间了~
- Linux系统编程@文件操作(一)
- SpringMVC基础配置与简单的SpringMVC的程序
- 容器可以作为全局变量吗_四季青是风水树吗?哪些可以作为风水树?
- 后端:Layui实现文件上传功能
- gwt api_使用RequestFactory API进行Spring GWT集成
- [渝粤教育] 四川信息职业技术学院 高频电子技术 参考 资料
- android平台上持久化存储3种手段_深入学习Redis :持久化
- WEB安全基础-Javascrp相关知识点之BOM
- 【渝粤教育】电大中专电商运营实操 (16)作业 题库
- excel通配符?和*的使用——用于查找
- python3 获取文件目录_python3--os.path获取当前文件的绝对路径和所在目录
- android手机刷机后驱动更新失败,怎么用电脑给手机刷机 电脑刷机驱动安装失败怎么办...
- ubuntu下使用锐捷客户端链接校园网
- UISwitch用法详解
- css 点击事件击穿
- 开源录屏软件Captura安装和使用
- 链接中的utm_source、utm_campaign、utm_campaign、utm_content、utm_term的含义【转】
- 进行图像增广的15+种功能总结和Python代码实现