• JSP类型

• ASP类型

• PHP类型

• 站长工具

• 持续远程控制

• 权限提升

• 极强隐蔽性

• 基于流量的 WebShell 检测

• 基于文件的 WebShell 检测

• 基于日志的 WebShell 检测

• _确定入侵时间：_文件新建时间或修改时间，确定时间以便依据时间进行溯源分析、追踪攻击者的活动路径

• _Web 日志分析：_通过Web日志进行分析，关注入侵前后的日志记录，从而寻找攻击者的攻击路径

• _漏洞分析：_通过日志查找攻击路径，溯源找到网站中存在的漏洞，并进行漏洞分析

• _漏洞复现：_对发现的漏洞进行漏洞复现，从而还原攻击者的活动路径

• _漏洞修复：_清除WebShell并进行漏洞修复，避免再次攻击；定期进行网站的全面安全检查，及时安装相关补丁

• D盾 WebShell 查杀

• 扫描工具-D盾：http://www.d99net.net/

• 河马 WebShell 查杀

• 河马webshell工具：https://www.shellpub.com/

• 深信服 WebShellKillerTool

• 扫描工具-深信服WebShellKillerTool：

https://edr.sangfor.com.cn/#/introduction/wehshell

• 安全狗网马查杀

访问
http://xxx.xxx.xxx.xxx/phpmyadmin/index.php，发现弱密码 root/root 可以登

录到数据库管理的后台

• 修改 general_log 为 ON

• 修改 general_log_file 为网站根目录：

C:UsersAdministratorDesktopphpstudyPHPTutorialWWWwebshell.php

• 通过告警定位到告警文件，查看文件内容，确认为 webshell 后门

• 通过wireshark流量分析，发现有来自 xxx.xxx.xxx.118 的数据请求，判定为蚁剑工具连接

webshell，木马文件为 /webshell.php

• 查看内容发现为一句话木马，并且以日志的方式写入

• 查看文件上传的时间

• 使用工具查杀是否还存在 webshell

• 删除木马文件

• 溯源发现攻击者是通过日志文件写入webshell的，将 general_log 配置改为 OFF

• 所以修改日志配置，并且修改 phpMyAdmin 登录的密码

1、服务器断网，清理webshell及恶意程序

2、对服务器进行加固，更改应用及系统密码，修补漏洞

3、清理完成确认安全后，重新部署上线

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

    以上就是本篇文章【WebShell简介】的全部内容了，欢迎阅览 ！ 文章地址：http://dfvalve.xrbh.cn/news/6523.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 迅博思语资讯移动站 http://keant.xrbh.cn/ , 查看更多