네트워크 경찰은 기본적인 네트워크 공격과 방어 웹쉘 공격을 상기시킵니다.
웹쉘이란 무엇인가요? 해악은 무엇입니까?
Webshell은 웹 서버에서 실행될 수 있는 백그라운드 스크립트 또는 명령 실행 환경입니다.
해커는 웹사이트에 침입하여 웹셸을 업로드하여 시스템 명령 실행, 사용자 데이터 도용, 웹페이지 삭제, 홈페이지 수정 등의 작업을 서버에서 실행할 수 있는 권한을 얻습니다. 피해는 자명합니다. .
웹쉘 공격의 특징은 무엇인가요?
1
지속적인 원격 액세스
침입자는 웹쉘을 사용하여 오랫동안 웹사이트 서버를 제어할 수 있습니다. 다른 누구도 해당 취약점을 악용할 수 없도록 공격자가 직접 취약점을 수정한다면, 공격자는 언제든지 서버를 조용히 장악할 수 있습니다. 일부 널리 사용되는 웹셸은 비밀번호 인증 및 기타 기술을 사용하여 웹셸을 업로드한 공격자만 액세스할 수 있도록 합니다.
2
권한 상승
서버 구성 오류가 없으면 webshell은 웹 서버의 사용자 권한으로 실행되며 사용자 권한은 제한됩니다. 웹셸을 사용하면 공격자는 시스템의 로컬 취약성을 악용하여 권한 상승을 시도할 수 있습니다. 일반적인 예로는 민감한 구성 파일 찾기, 커널 취약성을 통한 권한 상승, 호출할 수 있는 낮은 권한 사용자 디렉터리의 스크립트를 악용하여 권한 상승 등이 있습니다. 루트 사용자, 임무 계획 등
3
강력한 은폐
일부 악성 웹 스크립트는 일반 웹 페이지에 중첩되어 실행될 수 있으며 쉽게 탐지되거나 제거되지 않습니다. Webshell은 서버 방화벽을 통과할 수도 있으며, 제어되는 서버나 원격 호스트와 상호 작용하는 데이터는 포트 80을 통해 전송되므로 트래픽이 기록되지 않을 경우 webshell은 post 패키지를 사용하여 전송합니다. 시스템 로그에 기록되므로 일부 데이터 제출 기록만 웹 로그에 기록됩니다.
webshell을 얻는 일반적인 방법
1
직접 업로드하여 webshell을 얻습니다.
업로드된 파일에 대한 필터링이 느슨하기 때문에 사용자가 업로드할 수 있습니다. 직접 Webshell은 웹사이트의 쓰기 가능한 디렉토리로 이동하여 웹사이트에 대한 관리자 제어 권한을 얻습니다.
2
업로드 유형 추가 및 수정
요즘 많은 스크립트 프로그램 업로드 모듈은 합법적인 파일 유형의 업로드만 허용하는 것이 아닙니다. 대부분의 시스템에서는 업로드 추가를 허용합니다. 유형.
3
백그라운드 관리 기능을 이용하여 웹쉘 작성
백그라운드 진입 후 관련 파일을 수정하여 웹쉘 작성도 가능합니다.
4
백그라운드 데이터베이스 백업 및 복구를 사용하여 획득
액세스 데이터베이스는 주로 백그라운드의 "데이터베이스 백업" 또는 "데이터베이스 복원" 기능을 사용합니다. 데이터베이스 경로" 및 기타 변수는 필터링되지 않으므로 모든 파일의 접미사를 asp로 변경하여 웹쉘을 얻을 수 있습니다.
5
php+mysql 시스템
백그라운드에는 mysql 데이터 쿼리 기능이 있어야 하며, 침입자는 이를 사용하여 TO에서 SELECT...를 실행할 수 있습니다. OUTFILE 쿼리 출력 PHP 파일은 모든 데이터가 mysql에 저장되어 있으므로 일반적인 방법을 통해 WebShell 코드를 mysql에 삽입하고 TO OUTFILE 문에서 SELECT ...를 사용하여 쉘을 내보낼 수 있습니다.
웹셸 웹사이트에서 백도어를 제거하는 방법
백도어 파일을 직접 찾아 삭제할 수 있습니다.
백도어 파일은 직접 삭제할 수 없습니다. . 파일 내용의 트로이 목마 코드를 삭제하여 치료할 수 있습니다.
1. 파일명은 index.asp, index.php 이며 자동으로 생성되는 SEO형 파일로, 백도어를 완전히 제거하시려면 소스파일을 찾아주셔야 합니다. 이 파일을 생성한 것입니다.
2. 파일의 내용은 단 한 줄, 혹은 아주 적은 양의 코드로 이루어져 있는데, 이를 '한 문장 백도어'라고 합니다.
3. 파일 내용에 비밀번호나 UserPass 키워드가 존재합니다.
4. 업로드 구성 요소 디렉터리 또는 업로드 디렉터리에 있는 다른 파일을 직접 삭제할 수 있습니다. eWebEditor, Editor, FCKeditor, webeditor, UploadFiles, 업로드 등
1. 웹사이트 자체 파일에 악성코드가 삽입되어 있다
2. 웹사이트 구성 파일
웹사이트 자체 코드에 삽입된 이러한 유형의 백도어를 제거하는 방법 :
오류 정정 및 복구를 위해 먼저 해당 파일을 백업해두세요. 일반적으로 "eval,execute,request,ExecuteGlobal" 키워드로 검색하여 백도어 코드 위치를 찾아보세요. 백도어로 판단된 코드를 삭제하고 파일을 저장합니다. 오류가 보고되었는지 확인하려면 웹사이트를 방문하여 오류가 수정되었는지 확인하세요.
웹사이트는 웹쉘 공격을 어떻게 방어하나요?
동적 웹 스크립트의 보안 문제를 근본적으로 해결하려면 인젝션, 폭동 방지 라이브러리, COOKIES 스푸핑 방지, 크로스 사이트 공격 방지 등을 방지하기 위해 서버 FSO 권한을 구성해야 합니다. .
1. 사용자는 FTP를 통해 웹페이지를 업로드 및 유지 관리하고 업로드 프로그램을 설치하지 않는 것이 좋습니다.
2. 업로드 프로그램에 대한 호출은 인증을 받아야 하며, 신뢰할 수 있는 사람만 업로드 프로그램을 사용할 수 있습니다.
3. 프로그램 관리자의 사용자 이름과 비밀번호는 너무 단순하지 않고 어느 정도 복잡해야 하며 정기적으로 변경되어야 합니다.
4. 일반 웹사이트에서 프로그램을 다운로드하고 데이터베이스 이름과 저장 경로를 수정합니다. 데이터베이스 이름은 다소 복잡해야 합니다.
5. 프로그램을 최신 상태로 유지하십시오.
6. 웹페이지에 백그라운드 관리 프로그램 로그인 페이지 링크를 추가하지 마세요.
7. 프로그램의 알려지지 않은 취약점을 방지하기 위해 점검 후 백그라운드 관리 프로그램의 로그인 페이지를 삭제하고 다음 점검 때 다시 업로드할 수 있습니다.
8. 데이터베이스 등 중요한 파일을 수시로 백업하세요.
9. 일일 점검을 실시하고 해당 공간에 출처를 알 수 없는 asp 파일이 있는지 주의 깊게 살펴보세요.
10. 데이터 노출을 방지하기 위해 웹사이트 검색 기능을 끄고 외부 검색 도구를 사용해 보세요.
11. 화이트리스트를 사용하여 파일을 업로드합니다. 화이트리스트에 없는 파일은 업로드가 금지됩니다. 업로드 디렉터리 권한은 최소 권한 원칙을 따릅니다.