應急響應之如何快速定位Webshell文件?
WebShell是以Asp、Php、Jsp或Cgi等網頁文件的形式存在的一種命令執行環境,也可以將其稱作為一種網頁后門。黑客在入侵了一個網站后,通常會將后門文件與網站服務器Web目錄下正常的網頁文件混在一起,然后就可以使用特定工具來訪問Webshell后門,獲得命令執行環境,達到控制網站服務器的目的。
當服務器被植入Webshell時,如何快速進行應急響應?其中最主要的步驟是找到隱藏的Webshell文件,下面將介紹常用快速定位Webshell文件的方法。
通過URL信息獲取
如果能獲取到惡意請求的URL信息,就可以根據URL信息定位到Webshell文件。URL信息可以通過態勢感知、WAF等監測預警系統獲取,也可以通過對系統異常時間段的Web日志進行審計獲取。
通過掃描工具掃描獲取
通過Webshell查殺工具進行掃描,可以定位到部分免殺能力不強的Webshell文件。例如:D盾、河馬等工具。
根據文件創建/修改時間獲取
可以重點排查事發過程中被創建或修改的文件,對這些文件進行鎖定并查看文件屬性。例如:Windows文件的時間屬性,選擇一個文件右鍵“屬性”即可查看文件的時間屬性,可以看到有“創建時間”、“修改時間”和“訪問時間”三個屬性:
- 創建時間:該文件在本載體本地址上創建的時間。
- 修改時間:在屬性中保存的最后一次修改的時間。
- 訪問時間:在屬性中保存的最后一次訪問的時間。
通過文件夾查看最近創建、修改的文件。
默認情況下,僅顯示“修改日期”時間戳。當需要添加其他時間戳時,右鍵單擊列標題上的任意位置,然后選擇“更多”選項。
通過Windows Search查看最近創建和修改的文件。
除了指定“修改日期”(datemodified)外,還可以指定“創建日期”(datecreated)、“訪問日期”(dateaccessed)。默認情況下,Windows將僅在索引位置中查找最近修改的文件。包括非索引位置,單擊“搜索工具”中的“高級選項”,然后選中“系統文件”。
