1. 现象描述
检测到源IP地址主机正在向目的IP地址主机传送可疑的webshell文件。
2. 攻击成因
采用形式
Webshell是web入侵的脚本攻击工具。简单说,Webshell就是一个用asp或php等编写的木马后门。
执行方式
攻击者在入侵网站后,常常将这些Webshell木马后门文件放置在网站服务器Web应用存在的目录下,与正常网页文件混在一起。攻击者可以通过Web访问方式,通过该Webshell木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。
3. 解决办法
事件发现
Webshell通过HTTP常用的80端口与后端服务器进行数据交换所以可以正常穿透防火墙不会留下日志,而且Webshell一般不会在后端服务器系统日志中留下记录,只会Web应用系统对应应用日志中留下数据提交记录,表现出管理员较难看出的入侵痕迹。
处理办法
木马类事件很难从网络报文中取得最终证据证明木马的存在,必须人工登陆被植入木马的主机采取软件扫描或人为分析的方法验证 ;
使用最新杀毒软件/专杀工具清除Webshell木马文件和系统补丁加固系统漏洞;
预防办法:
合理设置web服务器目录的权限,禁止不必要的组件运行; |
