应急响应之如何快速定位Webshell文件?
WebShell是以Asp、Php、Jsp或Cgi等网页文件的形式存在的一种命令执行环境,也可以将其称作为一种网页后门。黑客在入侵了一个网站后,通常会将后门文件与网站服务器Web目录下正常的网页文件混在一起,然后就可以使用特定工具来访问Webshell后门,获得命令执行环境,达到控制网站服务器的目的。
当服务器被植入Webshell时,如何快速进行应急响应?其中最主要的步骤是找到隐藏的Webshell文件,下面将介绍常用快速定位Webshell文件的方法。
通过URL信息获取
如果能获取到恶意请求的URL信息,就可以根据URL信息定位到Webshell文件。URL信息可以通过态势感知、WAF等监测预警系统获取,也可以通过对系统异常时间段的Web日志进行审计获取。
通过扫描工具扫描获取
通过Webshell查杀工具进行扫描,可以定位到部分免杀能力不强的Webshell文件。例如:D盾、河马等工具。
根据文件创建/修改时间获取
可以重点排查事发过程中被创建或修改的文件,对这些文件进行锁定并查看文件属性。例如:Windows文件的时间属性,选择一个文件右键“属性”即可查看文件的时间属性,可以看到有“创建时间”、“修改时间”和“访问时间”三个属性:
- 创建时间:该文件在本载体本地址上创建的时间。
- 修改时间:在属性中保存的最后一次修改的时间。
- 访问时间:在属性中保存的最后一次访问的时间。
通过文件夹查看最近创建、修改的文件。
默认情况下,仅显示“修改日期”时间戳。当需要添加其他时间戳时,右键单击列标题上的任意位置,然后选择“更多”选项。
通过Windows Search查看最近创建和修改的文件。
除了指定“修改日期”(datemodified)外,还可以指定“创建日期”(datecreated)、“访问日期”(dateaccessed)。默认情况下,Windows将仅在索引位置中查找最近修改的文件。包括非索引位置,单击“搜索工具”中的“高级选项”,然后选中“系统文件”。
