網站被植入webshell,意味着網站存在可利用的高危漏洞,攻擊者通過利用漏洞入侵網站,寫入webshell接管網站的控制權。為了得到權限 ,正常的手段如:前背景任意檔案上傳,遠端指令執行,Sql注入寫入檔案等。
現象描述
網站管理者在站點目錄下發現存在webshell,于是開始了對入侵過程展開了分析。
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsISPrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdsATOfd3bkFGazxCMx8VesATMfhHLlN3XnxCMwEzX0xiRGZkRGZ0Xy9GbvNGLpZTY1EmMZVDUSFTU4VFRR9Fd4VGdsYTMfVmepNHLrJXYtJXZ0F2dvwVZnFWbp1zczV2YvJHctM3cv1Ce-cmbw5SZiRGN3gTO4EjNhJTNzgDNmVzNwImZ4IDMxQWZwU2Mx8CXwMzLcRDMxIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjL4M3Lc9CX6MHc0RHaiojIsJye.png)
Webshell清除工具:
D盾_Web清除 Window下webshell清除:http://www.d99net.net/index.asp
河馬:支援多平台,但是需要聯網環境。
使用方法: wget http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz tar xvf hm-linux-amd64.tgz hm scan /www
事件分析
1、 定位時間範圍
通過發現的webshell檔案建立時間點,去翻看相關日期的通路日志。
2、Web 日志分析
經過日志分析,在檔案建立的時間節點并未發現可疑的上傳,但發現存在可疑的webservice接口
3、漏洞分析
通路webservice接口,發現變量:buffer、distinctpach、newfilename可以在用戶端自定義
4、漏洞複現
嘗試對漏洞進行複現,可成功上傳webshell,控制網站伺服器