1、物联网技术 2023年/第8期 智能处理与应用Intelligent Processing and Application1080 引 言WebShell 通常指网站服务器的后门恶意文件,是一种以可执行网页脚本文件的形式存在于 Web 服务器上,一般具有文件上传下载、在线编辑、数据库操作、命令执行等功能,因经常与常规的网页文件混合保存在同一个目录中,具有极强的隐蔽性。WebShell 可以轻松绕过防火墙,不被防火墙拦截,同时对它的操作只在 Web 日志中留下使用痕迹,而不会在系统日志中留下数据操作的痕迹。网络入侵者通过网站文件上传、SQL注入等漏洞植入WebShell到网站服务器目录上,应用专
2、门的后门管理工具进行连接恶意文件成功后,从而达到持续控制网站服务器权限目的。1 WebShell 分类WebShell 分类通常有两种形式:一种是按照脚本语言类型划分;另一种就是按照脚本功能和大小划分。1.1 脚本类型分类常见的Web网页形式有PHP语言、ASP语言、JSP语言等,因此 WebShell 划分为 PHP、ASP 和 JSP 三种类型1,常见的 WebShell 脚本见表 1 所列。(1)PHP 类型 WebShell 脚本PHP(Hypertext Preprocessor)为 超 文 本 预 处 理 器,PHP 可以支持常见的 MySQL、Oracle 等数据库和常见的Win
3、dows 和 Linux 操作系统,适合用来做 Web 动态网站开发,并可以把它嵌入到 HTML 语言中。表 1 WebShell 分类简单脚本WebShell 分类WebShell 简单脚本PHP 型 WebShell 脚本ASP 型 WebShell 脚本JSP 型 WebShell 脚本(2)ASP 类型 WebShell 脚本ASP(Active Server Page)为活动服务器网页,用于各种动态网站服务的开发,与数据库和其他应用程序交互也是非常方便,支持 Windows 操作系统上 IIS 服务器运行的 程序。(3)JSP 类型 WebShell 脚本JSP(Java Serve
4、r Page)是一种动态 Web 资源的开发技术。JSP 是在传统的网页 HTML 文件中插入 Java 程序段和JSP 标记,从而形成 JSP 文件。1.2 脚本大小和功能分类按照 WebShell 的大小和功能将其划分为一句话木马、小马和大马三类。(1)一句话木马型 WebShell。顾名思义就是文件内容只有一句话,如表 1 中的 WebShell 简单脚本所示,传入的参数方法常有 POST、GET 和 Request 方法。POST 方法提交的参数可以使用中国菜刀、蚁剑等远程管理工具连接目标受害服务器;GET 方法提交的参数通过 URL 地址形式WebShell 应急响应检测方法研究与实
5、践朱振南,金京犬(安徽邮电职业技术学院,安徽 合肥 230031)摘 要:互联网上的 Web 信息系统的飞速发展,给人们的生活和办公上带来了便利。然而,近年来网络安全事件频发,暴露出互联网的 Web 信息系统面临的风险和其脆弱性。作为网站服务器的后门恶意文件,即 WebShell,其具有极强的隐蔽性,是黑客入侵网站的重要手段,直接影响着互联网上 Web 信息系统的安全与效率。因此,对WebShell 的分析和研究就显得极为重要。鉴于此,讨论 WebShell 的分类方法,分析了两种 WebShell 的上传方法,给出了当前 WebShell 检测的主流方法,介绍了 WebShell 应急响应的
6、一般流程。最后给出一个 Windows 操作系统服务器,针对 WebShell 应急响应处置流程进行实验。实验结果表明,结合现有的 WebShell 检测和响应技术可以保障Web 信息系统的安全性、可用性和稳定性。关键词:应急响应;WebShell 检测;Web 信息系统;网络安全;WebShell 分类;Web 日志分析中图分类号:TP393.08 文献标识码:A 文章编号:2095-1302(2023)08-0108-03收稿日期:2022-07-15 修回日期:2022-09-02基金项目:安徽省高校自然科学重点研究项目(2022AH052959)阶段性研究成果DOI:10.16667/
7、j.issn.2095-1302.2023.08.0292023年/第8期 物联网技术智能处理与应用Intelligent Processing and Application109连接目标受害服务器;Request 方法提交的参数既可以使用POST 方法又可以使用 GET 方法连接目标受害服务器。假设 IP 地址为 192.168.1.6 目标服务器根目录下有一个隐藏的GET 类型的一句话木马文件.a.php,利用访问方式 http:/192.168.1.6/.a.php?cmd=system(cat/flag.txt);获取敏感文件/flag.txt 内容,如图 1 所示,参数 cmd 是
8、攻击者远程控制服务器的连接密码。图 1 一句话木马利用(2)小马型 WebShell。该类型功能比较简单,文件容量也是比较小,一般用来创建后者上传大马 WebShell 文件。如图 2 所示,利用小马 small.php 创建一个新的文件 New.php,其功能是可以绕过各大杀毒软件、安全狗、D 盾的php 类型的一句话恶意文件,且连接密码为“1”。图 2 小马创建 New.php(3)大马型 WebShell。该类型 WebShell 功能比较齐全,体积较大。把文件上传与下载、编辑、数据库管理、提权等功能集在一个 GUI 界面,操作方便。图 3 是经典的大马操作界面。图 3 经典大马 GUI
9、 界面2 WebShell 上传方法当网站中存在高危漏洞,攻击者利用这些高危漏洞就可以把 WebShell 上传到网站,网站的访问权限被进一步提升,常见的 WebShell 上传方法有以下两种。2.1 利用文件上传漏洞上传 WebShell网站中经常需要上传一些像图片、Word 和 Excel 等附件,但是有时候仅仅实现了文件上传功能,没有对用户输入的数据做严格的过滤,存在文件上传漏洞。文件上传漏洞是最常见上传 WebShell 的方法。有些网站只是在前端 JavaScript 做控制,这种控制方法没有任何实际效果,攻击者可以通过浏览器开发者模式绕过。利用文件上传漏洞绕过上传 WebShell
10、方式有多种,如通过黑名单、双写、大小写、00 截断、服务器解析和图片码等方式绕过服务器,进而上传恶意的WebShell。2.2 利用 SQL 注入漏洞上传 WebShell网站中某些功能经常需要和数据库进行交互操作,比如搜索框、登录框、注册入口等,攻击者通过构造一些 SQL语句拼接在原程序设计的语句之后,从而导致数据库受损被脱库、删除,甚至整个服务器权限沦陷。结合 union 联合查询方法和 into outfile 方法,把 WebShell 写入到指定的文件中,例如可以采用 payload:xxx union select into outfile/var/www/html/1.php#,
11、把一句话木马写入到网站的根目录下 1.php 的文件中。使用 into outfile 方法写入 WebShell 到指定文件中有 3 个限制条件,即需要知道远程目录、需要远程目录有写权限、需要数据库开启了 secure_file_priv 选项功能。3 WebShell 检测方法WebShell 典型检测方法有静态检测、动态检测、日志检测和基于机器学习检测四大研究方向。各类检测方法的比较见表 2 所列。表 2 WebShell 检测方法比较WebShell检测方法检测时间范围优 点缺 点静态检测入侵实施前检测实现简单,对于已知WebShell 检测效率高误报漏报率高动态检测入侵执行时检测能检
12、测出未知 WebShell,误报率低实现困难,时效性差日志检测入侵执行后检测实现简单,效果明显日志数据庞大,检测效率低机器学习检测入侵实施前检测准确率高学习算法设计困难,误报率高3.1 基于静态的 WebShell 检测基于静态的检测方法2主要是检测 WebShell 文件本身,通过预先设计好的正则表达式检测文件内容是否包含有执行系统的高危函数、特征值等属性,这类检测方法要求特征库全面、正则表达式的数据处理能力强,但对于变形、加密、免杀处理和新型未知的 WebShell 不能识别,导致漏报率 很高。3.2 基于动态的 WebShell 检测基于动态的检测方法3主要是通过检测敏感函数和流量分析方
13、法,抓取攻击者和目标服务器之间互动的协议层面流物联网技术 2023年/第8期 智能处理与应用Intelligent Processing and Application110量,分析 WebShell 关联特征,包括 payload 特征、文件大小、文件执行权限等。这类检测方法对于已知和未知的 WebShell检测效果都很好,但是访问流量数据比较大,在时效性方面还有待进一步研究提高。3.3 基于日志的 WebShell 检测基于日志的 WebShell 检测4是通过海量的日志数据建立检测模型,对常见的多种日志提取和综合分析,可有效识别 WebShell 的上传行为。这类检测方法是在已经入侵实事
14、的基础上进行检测,同时日志数据庞大,实时性差。3.4 基于机器学习的 WebShell 检测传统针对 WebShell 的检测方法耗时耗力、漏报和漏报率比较高、检测效果也不是很明显特点。近年来,很多前辈研究学者们提出了基于机器学习检测 WebShell 的方法5。基于机器学习算法有很强的数据自处理能力以及特征自学习能力,这类检测方法主要是依赖机器学习算法的选择,前辈研究学者提出了将决策树算法6、随机森林改进算法、K 近邻算法等融入到 WebShell 检测算法中,检测的准确率得到了提高,同时降低了误报率和漏报率。4 WebShell 应急响应流程可以使用同源文件比较快速地定位 WebShell
15、 的位置,查看 Web 日志文件,分析异常访问流量。WebShell 应急响应流程如图 4 所示。图 4 WebShell 应急响应流程(1)可以使用一些类似 D 盾和河马 WebShell 的 Web 查杀工具,扫描网站根目录,判断 WebShell 创建的时间和攻击范围,以便后续依据该时间进行溯源分析;(2)对网站的 Web 访问日志和错误日志进行重点分析,特别是攻击时间前后的日志信息,从而判断攻击者的攻击 路径;(3)分析网站中可能存在漏洞的位置,并对已发现的漏洞进行复现,还原攻击者的活动路径;(4)清除已知存在的 WebShell,对系统和网站应用程序进行安全加固,修复已知漏洞。5 W
16、ebShell 应急响应实践某 文 件 管 理 应 用 系 统 采 用 asp 语 言 开 发,搭 建 在Windows 操作系统服务器上,在一次巡检过程中,发现文件管理系统后台登录页面被篡改,应急响应处置流程7如下:Step1:WebShell 排查。利用检测工具 D 盾扫描网站根目录,发现 WebShell 痕迹,查看对应的文件内容,确认为WebShell,如图 5 所示。通过 D 盾扫描结果定位 WebShell位于网站的根目录 D:Webupfileaffix 下,文件的创建时间为 2021 年 12 月 22 日 16 时 34 分至 38 分。图 5 D 盾扫描 WebShellS
17、tep2:Web 日志分析。分析相应时间范围内的 Web 应用日志文件,发现有一个终端 IP 地址为 172.*.*.20 在 2021 年 12 月 16 日试图多次登录网站服务器管理后台,但都没有登录成功,如图 6 所示。图 6 登录后台失败事件在 2021 年 12 月 21 日,发现入侵者通过用户 down 账号成功连接到数据库,如图 7 所示,并使用数据库里面的管理员账号成功登录网站服务器管理后台。图 7 成功连接网站数据库利用网站服务器管理后台的文件上传功能,经过多次上传,发现文件上传经过重命名后文件名长度为 32 个字符,最后利用该漏洞成功上传了 WebShell。Step3:系
18、统排查。通过异常端口、进程排查,可疑文件排查,可疑账号排查,发现并无异常,入侵者仅上传了WebShell 操作,并没有对系统进行恶意操作。综上分析,判断入侵者的攻击路径,入侵者通过扫描工具,发现服务器主机开放了 27689 端口,在服务器的某个网页中发现了连通数据库的敏感信息,获得了服务器的数据库权限,成功登录了文件管理系统,利用文件管理系统内的文件上传模块漏洞上传 WebShell 到 Web 服务器,获得了服务器操作系统的权限。Step4:根除与恢复。(1)暂停相关业务服务,清除服务器中的 WebShell。(2)数据库采用本地链接,禁止远程连接访问。(3)删除 Web 页面中暴露出来的敏
19、感信息,关闭不必要的端口,采用白名单形式过滤修复文件上传漏洞,对服务器进行全面安全加固。(下转第114页)物联网技术 2023年/第8期 智能处理与应用Intelligent Processing and Application114信。目前为止,ZigBee、WirelessHART、ISA100.11a、WIA-PA 等协议广泛采用上述标准进行低功耗及可靠性约束。5 结 语物联网行业的快速发展与频繁出现的安全事件让物联网安全得到相应的重视,但物联网安全尚未形成成熟的商业市场及产业规模,针对物联网安全风险分析以及物联网安全防护策略的研究还在持续。针对物联网安全,还应强化相关网络监管部门的工作
20、职责,制定完善的物联网运行管理制度,建立有针对性的安全防护机制,进而逐步形成科学的防范体系。未来的研究趋势是将可信计算思想与机制引入到物联网安全体系中,形成自下而上各个环节的安全保障。参考文献1 冯登国,张阳,张玉清.信息安全风险评估综述 J.通信学报,2004,25(7):10-18.2 LIAO K,CUI X X,LIAO N,et al.High-performance noninvasive side-channel attack resistant ecc coprocessor for gf(2m)J.IEEE Transactions on Industrial Electro
21、nics,2017,64(1):727-738.3 BANERJEE N,XIE Y,RAHMAN M M,et al.From chips to dust:the MEMS shatter secure chip C/In 2014 IEEE 27th International Conference on Micro Electro Mechanical Systems(MEMS).S.l.:IEEE,2014:1123-1126.4 朱西方.物联网技术发展及应用研究 J.山东工业技术,2017,36(8):151.5 苏恺,郑华,李卢城,等.物联网典型安全漏洞及其防护 J.数字技术与应用
22、,2022,40(4):212-214.6 邓天钰.基于物联网的保护智能家具系统安全的新方法 J.电子元器件与信息技术,2020,4(9):19-20.7 张远晶,毕然.我国物联网安全及解决方案研究 J.信息通信技术与政策,2019,45(2):35-39.8 曹雷.高校信息安全保障系统的设计与实现 J.现代电子技术,2021,44(2):81-85.9 龙曼丽.基于攻防博弈模型的网络信息安全防护系统设计 J.现代电子技术,2021,44(4):115-118.10 潘娟娟,李明.基于大数据技术的电子支付信息安全加密系统 J.现代电子技术,2021,44(13):71-74.作者简介:罗思源(
23、1986),男,工程师,西藏民族大学网络信息技术中心,研究方向为网络安全、嵌入式应用、物联网开发。6 结 语应急响应工程师可以通过一些异常现象判断网站服务器是否被植入了 WebShell,例如网站首页被篡改、植入暗链、安全设备报警等。针对 WebShell 植入网站服务器时的应急响应措施,首先要大致定位入侵事件发生的时间,根据事件发生的时间进行排查,在 Web 服务器的根目录下使用检测工具或者命令搜索 WebShell 相关的关键词,准确定位到恶意文件并清除。其次利用 Web 日志分析、系统排查、日志排查、网络流量排查等手段,在应用和系统层面进行溯源分析。最后清除发现的 WebShell 并加
24、固服务器安全。注:本文通讯作者为金京犬。参考文献1 何树果,张福,朱震.WebShell 检测方案探索与实践 J.信息网络安全,2020,20(z1):141-144.2 端木怡婷.WebShell 检测方法研究综述 J.软件,2020,42(11):67-69.3 赵运弢,徐春雨,薄波,等.基于流量的 WebShell 行为分析与检测方法 J.网络安全技术与应用,2018,18(4):8-9.4 石刘洋,方勇.基于 Web 日志的 WebShell 检测方法研究 J.信息安全研究,2016,2(1):66-73.5 李源,王运鹏,李涛,等.基于多特征融合的 WebShell 恶意流量检测方法
25、 J.网络与信息安全学报,2021,7(6):143-154.6 胡建康,徐震,马多贺,等.基于决策树的 WebShell 检测方法研究 J.网络新媒体技术,2012,33(6):15-19.7 奇安信安服团队.网络安全应用响应技术实战指南 M.北京:中国工信出版集团,2020:198-237.8 王世通.基于 HTTP 协议的 WebShell 检测研究 D.北京:北京邮电大学,2021.9 韩彤.基于深度学习的 WebShell 检测方法的研究与实现 D.北京:北京邮电大学,2021.10 李时雨.基于日志的 Web 攻击痕迹关联分析技术研究与实现 D.北京:北京邮电大学,2021.作者简介:朱振南(1983),男,安徽六安人,高级工程师,硕士研究生,研究方向为通信与信息处理、网络安全。金京犬(1982),男,安徽安庆人,教授,硕士研究生,研究方向为网络安全及应用。(上接第110页)
浙ICP备2021020529号-1 | 浙B2-20240490 
