【大白分享】渗透安全之怎样发现隐藏的Webshell后门
  

山东_朱文鑫 38251人觉得有帮助

{{ttag.title}}
大家好,我是大白,在这个世界上取得成就的人,都努力去寻找他们想要的机会,如果找不到机会,他们便自己创造机会。依旧感谢各位小伙伴的一路支持与陪伴。

今天分享大白的渗透安全之怎样发现隐藏的Webshell后门,本篇主要是针对大家常见的Webshell后门进行分享如何找出存在的Webshell这个思路,同样还是对于好多小伙伴来说,这个更加偏向于安服,总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要,我们可以一同研习一下渗透攻防的“魅力”。

*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!

这个也是客户发现SIP报Webshell攻击,刚好我就整理一下关于排查Webshell后面的一些思路,试想一下当自己的网站被入侵,攻击者留下隐藏的后门面对一个大中型的应用系统,数以百万级的代码行,如果手动校验,那真是累死,即便是使用Webshell扫描工具依旧像暗链、网页劫持、页面跳转等常见的黑帽SEO手法,也很难通过手动检测或工具检测全部识别出来。最好的方式就是做文件完整性验证。通过与原始代码对比,可以快速发现文件是否被篡改以及被篡改的位置,介绍几种文件完整性验证方式。



我也相信凡是收集过一段信息的SIP安全感知平台,对于如下的日志绝对也是司空见惯,作为网站攻击后,需要进行后续连接使用的常用手段,这种攻击方式危害也是很大。



1、文件MD5校验

下载深信服工具的时候,我们可以留意下载的界面,除了下载的连接,还有一个文件md5值。这个是软件作者在发布软件时,通过md5算法计算出该exe文件的“特征值”。


当用户下载软件时,可以使用相同的校验算法计算下载到exe文件的特征值,并与软件开发者发布的特征值比较。如果两个特征值相同,则认为下载到的exe文件是正确的。如果两个特征值不同,则认为下载到exe文件是被篡改过的。

那同理可得,我们可以将所有网站文件计算一次hash值保存,当出现应急情况时,重新计算一次hash值,并与上次保存的hash值进行对比,从而输出新创建的、修改过及删除的文件列表。

文件hash值计算:

  1. def md5sum(file):
  2.     m=hashlib.md5()
  3.     if os.path.isfile(file):
  4.         f=open(file,'rb')
  5.         for line in f:
  6.             m.update(line)
  7.         f.close
  8.     else:
  9.         m.update(file)
  10.     return (m.hexdigest())
复制代码

对文件进行哈希值重新计算,进行校验对比,测试效果:


如上图,在上传目录新增了一个evil.php文件,还有一个被篡改的文件是low.php。使用常见的编辑器NotePad++进行对比,可以发现low.php文件里被插入了一句话webshell。


2、diff命令

在linux中,我们经常使用diff来比较两个文本文件的差异。同样,我们可以通过一行命令快速找出两个项目文件的差异。

  1. diff -c -a -r cms1 cms2
复制代码

如下图所示,前三行列出了两个要对比的文件目录的差异,可以发现low.php文件被篡改过,篡改的内容是@eval($_POST['g']);。


备注:如果只是想查看两个文件是否不同又不想显示差异之处的话,可以加上-q选项。

3、版本控制工具

版本控制工具,比如说git,重新上传代码到git,add+commit+push,然后打开项目,点击commits,在历史提交版本里面,查看文件更改内容,很容易就可以发现代码被篡改的地方了。


另外,也可以通过git diff 用来比较文件之间的不同。


4、文件对比工具

关键词:代码对比工具,你会找到很多好用的工具,这里我们推荐两款效果还不错的工具,Beyond Compare和WinMerge。

Beyond Compare

Beyond Compare是一套由Scooter Software推出的文件比较工具。主要用途是对比两个文件夹或者文件,并将差异以颜色标示,比较范围包括目录,文档内容等。

软件使用示例,通过文件夹比较,找出文件夹中的差异内容。
1、双击Beyond Compare ,打开软件主页,选择文件夹比较。
2、在双边栏输入文件夹路径,点击显示差别,列出差异部分的内容,紫色部分为新增文件,红色部分为篡改文件。


3、双击具体文件,进入代码对比,找到代码差异部分。




WinMerge是一款运行于Windows系统下的文件比较和合并工具,使用它可以非常方便地比较文件夹和文件,以易于理解的可视文本格式显示差异。


1、文件--打开,选择文件或文件夹,然后点击进行比较。




2、在同一个界面里,通过颜色和文本提示,显示文件夹内容差异。





所以在这里给各位正在做网站的小伙伴提个醒,一定要尽快的完成代码文件的备份,最好版本的迭代更新文件每次都做一次全量备份,便于后续出现问题及时的进行对比,以及事件的处理。


*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!


以上就是本次的渗透安全之渗透安全之怎样发现隐藏的Webshell后门讲解分享,一句忠告:业务备份一时不做一时爽,问题出现两行泪,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!

励志分享超清壁纸语句~~:



为官者诚信,国泰民安;为民者诚信,和谐发展;为商者诚信,商机无限;为友者诚信,高朋满座。

好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

山东_杨圣全 发表于 2023-6-15 17:20
  
大佬6666666666666666666666666666666666666666666666666666666666666666666666666666
新手719320 发表于 2023-6-20 11:16
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
新手626351 发表于 2023-7-22 08:14
  
感谢分享有助于工资和学习!
dhf 发表于 2023-9-4 09:39
  
每日打卡学习,感谢分享,学习了!!!
新手716814 发表于 2023-9-28 08:58
  

每天学习一点点,每天进步一点点。
新手626351 发表于 2023-10-11 08:49
  
感谢分享,构建全联接的未来
新手716814 发表于 2023-10-12 09:29
  
每天学习一点点,每天进步一点点。
新手716814 发表于 2023-10-12 09:30
  
每天学习一点点,每天进步一点点。
新手716814 发表于 2023-10-13 10:59
  

感谢楼主分享,努力学习中!!!!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

7
20
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人