Webshell×÷ΪһÖÖ³£¼ûµÄ¶ñÒâ´úÂëÐÎʽ£¬³£±»ºÚ¿ÍÓÃÓÚÔ¶³Ì¿ØÖÆ·þÎñÆ÷¡¢ÇÔÈ¡Êý¾Ý»ò·¢Æð¸ü¸´ÔӵĹ¥»÷
Òò´Ë£¬ÕÆÎÕÔÚLinuxϵͳϸßЧ²éÕÒWebshellµÄ¼¼ÄÜ£¬¶ÔÓÚ±£ÕÏ·þÎñÆ÷°²È«ÖÁ¹ØÖØÒª
±¾ÎĽ«Ïêϸ½éÉܼ¸ÖÖÓÐЧµÄWebshell²éÕÒ·½·¨£¬°ïÖúϵͳ¹ÜÀíÔ±ºÍ°²È«×¨¼ÒÖþÆð¼áʵµÄ·ÀÓùÏß
Ò»¡¢WebshellµÄ»ù±¾¸ÅÄîÓëΣº¦ Webshell£¬¼ò¶øÑÔÖ®£¬ÊÇͨ¹ýWeb·þÎñÆ÷Ö´ÐеĶñÒâ½Å±¾£¬Í¨³£¾ßÓÐÎļþÉÏ´«¡¢ÃüÁîÖ´ÐС¢Êý¾ÝÇÔÈ¡µÈ¶àÖÖ¹¦ÄÜ
ºÚ¿ÍÀûÓÃWebÓ¦Óé¶´£¨ÈçSQL×¢Èë¡¢Îļþ°üº¬Â©¶´µÈ£©½«WebshellÉÏ´«µ½·þÎñÆ÷£¬½ø¶ø»ñµÃ¶Ô·þÎñÆ÷µÄ¿ØÖÆÈ¨
Ò»µ©Webshell³É¹¦Ö²È룬ºÚ¿Í¿ÉÒÔÔ¶³ÌÖ´ÐÐÈÎÒâÃüÁî¡¢Ð޸ķþÎñÆ÷ÅäÖá¢ÇÔÈ¡Ãô¸ÐÊý¾Ý£¬ÉõÖÁ¹¹½¨½©Ê¬ÍøÂç
WebshellµÄΣº¦²»ÈÝСêËü²»½ö»áÖ±½ÓÓ°Ïì·þÎñÆ÷µÄÎȶ¨ÔËÐУ¬»¹¿ÉÄܵ¼ÖÂÊý¾Ýй¶¡¢ÒµÎñÖжϵÈÑÏÖØºó¹û
Òò´Ë£¬¼°Ê±·¢ÏÖ²¢Çå³ýWebshellÊÇά»¤·þÎñÆ÷°²È«µÄ¹Ø¼ü²½Öè
¶þ¡¢LinuxϵͳϲéÕÒWebshellµÄ·½·¨ 1. »ùÓÚÎļþÌØÕ÷µÄ²éÕÒ WebshellÎļþÍùÍù¾ßÓÐһЩÃ÷ÏÔµÄÌØÕ÷£¬ÈçÌØ¶¨µÄÎļþÀ©Õ¹Ãû£¨Èç.php¡¢.asp¡¢.jspµÈ£©¡¢ÎļþÄÚÈÝÖеÄÌØ¶¨¹Ø¼ü´Ê£¨Èç`system`¡¢`exec`¡¢`passthru`µÈPHPº¯Êý£©»ò¿ÉÒɵıàÂ뷽ʽ£¨ÈçBase64±àÂ룩
ͨ¹ýËÑË÷ÕâÐ©ÌØÕ÷£¬¿ÉÒÔ³õ²½É¸Ñ¡³ö¿ÉÄܵÄWebshellÎļþ
²½ÖèÒ»£ºËÑË÷ÌØ¶¨ÎļþÀ©Õ¹Ãû ʹÓÃ`find`ÃüÁî½áºÏ`grep`ÃüÁ¿ÉÒÔ¸ßЧµØËÑË÷·þÎñÆ÷ÉϵÄÌØ¶¨ÎļþÀàÐÍ
ÀýÈ磬Ҫ²éÕÒËùÓÐPHPÎļþ£¬¿ÉÒÔʹÓÃÒÔÏÂÃüÁ find /path/to/search -name .php ²½Öè¶þ£ºËÑË÷ÎļþÄÚÈÝÖеÄÌØ¶¨¹Ø¼ü´Ê ¶ÔÓÚ³õ²½É¸Ñ¡³öµÄÎļþ£¬¿ÉÒÔʹÓÃ`grep`ÃüÁî½øÒ»²½ËÑË÷ÎļþÖеÄÌØ¶¨¹Ø¼ü´Ê
ÀýÈ磬Ҫ²éÕÒ°üº¬`system`º¯ÊýµÄPHPÎļþ£¬¿ÉÒÔʹÓÃÒÔÏÂÃüÁ grep -r system /path/to/php/files/ ²½ÖèÈý£º·ÖÎö¿ÉÒÉÎļþ ¶ÔÓÚËÑË÷µ½µÄ¿ÉÒÉÎļþ£¬ÐèÒª×Ðϸ·ÖÎöÆäÄÚÈÝ
¿ÉÒÔʹÓÃÎı¾±à¼Æ÷»òרÃŵĴúÂë·ÖÎö¹¤¾ßÀ´²é¿´ÎļþµÄÔ´´úÂ룬¼ì²éÊÇ·ñ´æÔÚ¶ñÒâ´úÂë
2. »ùÓÚÎļþȨÏÞÓëËùÓÐÕߵIJéÕÒ WebshellÎļþͨ³£»á±»ÉèÖÃΪ¾ßÓпÉÖ´ÐÐȨÏÞ£¬ÇÒÆäËùÓÐÕß¿ÉÄÜÓëÕý³£WebÓ¦ÓÃÎļþµÄËùÓÐÕß²»Í¬
Òò´Ë£¬Í¨¹ý¼ì²éÎļþµÄȨÏÞºÍËùÓÐÕßÐÅÏ¢£¬Ò²¿ÉÒÔ·¢ÏÖ¿ÉÒɵÄWebshellÎļþ
²½ÖèÒ»£º¼ì²éÎļþȨÏÞ Ê¹ÓÃ`ls -l`ÃüÁî¿ÉÒԲ鿴ÎļþµÄȨÏÞÐÅÏ¢
WebshellÎļþͨ³£»á±»ÉèÖÃΪ¾ßÓпÉÖ´ÐÐȨÏÞ£¨Èç`-rwxr-xr-x`£©
²½Öè¶þ£º¼ì²éÎļþËùÓÐÕß Ê¹ÓÃ`ls -l`ÃüÁ¿ÉÒԲ鿴ÎļþµÄËùÓÐÕßÐÅÏ¢
Èç¹ûij¸öÎļþµÄËùÓÐÕßÓëÕý³£WebÓ¦ÓÃÎļþµÄËùÓÐÕß²»Í¬£¬ÄÇô¸ÃÎļþºÜ¿ÉÄÜÊÇWebshell
²½ÖèÈý£º½øÒ»²½·ÖÎö ¶ÔÓÚȨÏÞ»òËùÓÐÕß¿ÉÒɵÄÎļþ£¬ÐèÒª½øÒ»²½¼ì²éÆäÄÚÈÝÒÔÈ·¶¨ÊÇ·ñΪWebshell
3. »ùÓÚÎļþÐÞ¸Äʱ¼äµÄ²éÕÒ WebshellÎļþͨ³£ÊÇÔںڿ͹¥»÷³É¹¦ºó±»ÉÏ´«µÄ£¬Òò´ËÆäÐÞ¸Äʱ¼äÍùÍùÓëÕý³£ÎļþµÄÐÞ¸Äʱ¼ä²»Í¬
ͨ¹ý¼ì²éÎļþµÄÐÞ¸Äʱ¼ä£¬¿ÉÒÔ·¢ÏÖ½üÆÚ±»Ð޸ĹýµÄ¿ÉÒÉÎļþ
²½ÖèÒ»£ºÁгöÎļþÐÞ¸Äʱ¼ä ʹÓÃ`ls -lt`ÃüÁî¿ÉÒÔ°´ÐÞ¸Äʱ¼ä˳ÐòÁгöÎļþ
ͨ¹ý¹Û²ìÎļþµÄÐÞ¸Äʱ¼ä£¬¿ÉÒÔ·¢ÏÖ½üÆÚ±»Ð޸ĹýµÄÎļþ
²½Öè¶þ£º·ÖÎö¿ÉÒÉÎļþ ¶ÔÓÚ½üÆÚ±»Ð޸ĹýµÄÎļþ£¬ÐèÒª½øÒ»²½¼ì²éÆäÄÚÈÝÒÔÈ·¶¨ÊÇ·ñΪWebshell
¿ÉÒÔʹÓÃÎı¾±à¼Æ÷»òרÃŵĴúÂë·ÖÎö¹¤¾ßÀ´²é¿´ÎļþµÄÔ´´úÂë
4. »ùÓÚÈÕÖ¾·ÖÎöµÄ²éÕÒ Web·þÎñÆ÷ÈÕÖ¾ÊǼǼ·þÎñÆ÷ÔËÐÐ×´¿öµÄÖØÒªÐÅÏ¢À´Ô´
ͨ¹ý·ÖÎöWeb·þÎñÆ÷ÈÕÖ¾£¬¿ÉÒÔ·¢Ïֺڿ͹¥»÷µÄºÛ¼£ÒÔ¼°WebshellÉÏ´«µÄÐÐΪ
²½ÖèÒ»£ºÊÕ¼¯ÈÕÖ¾ÐÅÏ¢ Web·þÎñÆ÷ÈÕ־ͨ³£´æ´¢ÔÚÌØ¶¨µÄÈÕÖ¾ÎļþÖУ¬ÈçApache·þÎñÆ÷µÄ·ÃÎÊÈÕÖ¾ºÍ´íÎóÈÕÖ¾
ʹÓÃ`cat`¡¢`tail`»ò`less`µÈÃüÁî¿ÉÒԲ鿴ÈÕÖ¾ÎļþµÄÄÚÈÝ
²½Öè¶þ£º·ÖÎöÈÕÖ¾ÄÚÈÝ Í¨¹ý·ÖÎöÈÕÖ¾ÄÚÈÝ£¬¿ÉÒÔ·¢Ïֺڿͳ¢ÊÔÉÏ´«WebshellµÄÐÐΪ
ÀýÈ磬ÔÚApache·ÃÎÊÈÕÖ¾ÖУ¬¿ÉÒÔËÑË÷°üº¬`.php`»ò`.asp`µÈÎļþÀ©Õ¹ÃûµÄPOSTÇëÇó£¬ÕâЩÇëÇóºÜ¿ÉÄÜÊǺڿͳ¢ÊÔÉÏ´«WebshellµÄÐÐΪ
²½ÖèÈý£º×·×Ù¿ÉÒÉÐÐΪ ¶ÔÓÚ·¢ÏֵĿÉÒÉÐÐΪ£¬ÐèҪ׷×ÙÆäÀ´Ô´ºÍÄ¿µÄ
¿ÉÒÔʹÓÃ`iptables`µÈ·À»ðǽ¹¤¾ßÀ´¼Ç¼ºÍ·ÖÎöÍøÂçÁ÷Á¿£¬ÒÔÈ·¶¨ºÚ¿ÍµÄIPµØÖ·ºÍ¹¥»÷·½Ê½
Èý¡¢Ô¤·ÀWebshellµÄ´ëÊ© ³ýÁ˼°Ê±·¢ÏÖºÍÇå³ýWebshellÍ⣬»¹ÐèÒª²ÉȡһϵÁÐÔ¤·À´ëÊ©À´½µµÍWebshellÖ²ÈëµÄ·çÏÕ
1.¼ÓÇ¿WebÓ¦Óð²È«£º¶¨ÆÚ¶ÔWebÓ¦ÓýøÐа²È«Éó¼ÆºÍ©¶´É¨Ã裬¼°Ê±ÐÞ¸´·¢Ïֵĩ¶´
2.ÏÞÖÆÎļþÉÏ´«¹¦ÄÜ£ºÈç¹ûWebÓ¦ÓÃÐèÒªÎļþÉÏ´«¹¦ÄÜ£¬Ó¦ÏÞÖÆÉÏ´«ÎļþµÄÀàÐͺʹóС£¬²¢¶ÔÉÏ´«µÄÎļþ½øÐÐÑϸñµÄ°²È«¼ì²é
3.ʹÓÃWebÓ¦Ó÷À»ðǽ£¨WAF£©£ºWAF¿ÉÒÔʵʱ¼à¿ØºÍ¹ýÂËWebÁ÷Á¿£¬ÓÐЧ×èÖ¹ºÚ¿ÍµÄ¶ñÒâÇëÇóºÍWebshellµÄÉÏ´«ÐÐΪ
4.¶¨ÆÚ±¸·ÝÊý¾Ý£º¶¨ÆÚ±¸·Ý·þÎñÆ÷ÉϵÄÖØÒªÊý¾Ý£¬ÒÔ·ÀÖ¹Êý¾Ý¶ªÊ§»ò±»´Û¸Ä
5.¼ÓÇ¿·þÎñÆ÷·ÃÎÊ¿ØÖÆ£ºÊ¹ÓÃÇ¿ÃÜÂë¡¢ÏÞÖÆÔ¶³Ì·ÃÎÊȨÏÞ¡¢¶¨ÆÚ¸ü»»ÃÜÂëµÈ´ëÊ©À´¼ÓÇ¿·þÎñÆ÷µÄ·ÃÎÊ¿ØÖÆ
ËÄ¡¢½áÂÛ WebshellÊǺڿ͹¥»÷·þÎñÆ÷µÄÖØÒªÊÖ¶ÎÖ®Ò»£¬¶Ô·þÎñÆ÷µÄ°²È«¹¹³ÉÑÏÖØÍþв
ÔÚLinuxϵͳϸßЧ²éÕÒWebshellÊDZ£ÕÏ·þÎñÆ÷°²È«µÄ¹Ø¼ü¼¼ÄÜ
±¾ÎĽéÉÜÁË»ùÓÚÎļþÌØÕ÷¡¢ÎļþȨÏÞÓëËùÓÐÕß¡¢ÎļþÐÞ¸Äʱ¼äºÍÈÕÖ¾·ÖÎöµÈ¶àÖÖ²éÕÒWebshellµÄ·½·¨£¬²¢¸ø³öÁËÔ¤·ÀWebshellµÄ´ëÊ©
ͨ¹ý×ÛºÏÔËÓÃÕâЩ·½·¨ºÍ´ëÊ©£¬¿ÉÒÔÓÐЧ½µµÍWebshellÖ²ÈëµÄ·çÏÕ£¬±£ÕÏ·þÎñÆ÷µÄ°²È«Îȶ¨ÔËÐÐ