提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

【AF】业务风险出现webshell后门失陷事件,查看日志是已拒绝

|

问题描述

客户的业务风险界面出现webshell后门失陷,但是实际的日志显示访问被拒绝;

告警信息

告警信息显示拒绝;


有效排查步骤

通过分析日志数据包,发现数据包详细信息里面的request请求字段携带有response的语句字段;





根因

webshell后门扫描和真正的webshell后门通信,从流量特征来看都是一样的, 只是一个url不存在,一个存在。因为防火墙已经把webshell攻击扫描的请求包拦截了,所以没法判断url是否存在了,导致如果请求包里面有response字段,设备即判定改扫描行为有实际通信行为,从而将扫描行为判定成后门。

解决方案

现有识别引擎不支持修改,需要跟客户解释相关的原因
新手626351 发表于 2023-3-13 10:03
  
有助于工作!!!!!!!!!!!!!!!!!!
李金龙一诺昕 发表于 2023-5-8 17:13
  
意思是这个是webshell是一个误会?
新手716814 发表于 2023-8-10 09:33
  

意思是这个是webshell是一个误会?
新手378833 发表于 2023-8-11 15:27
  
感谢楼主的精彩分享,有助工作!!!

我要分享
文档编号: 236361
作者: admin
更新时间: 2023-01-05 17:29
适用版本: