可疑webshell后门文件是什么

可疑webshell后门文件是什么,第1张

Webshell后门文件是一种恶意的文件,通常用于黑客攻击中,旨在入侵受害者的服务器或者网站,并获得对目标系统的完全访问权限。Webshell后门文件利用Web服务器的弱点,在目标服务器上部署一个后门文件,在未经授权的情况下,创建、修改、删除和执行文件等恶意 *** 作。

Webshell后门文件通常由黑客以PHP、ASP等Web编程语言编写,并伪装成一些正常的文件类型,如图片、HTML文件、JS等等。当被安装在服务器上,Webshell后门文件隐藏在受害者服务器的某个目录中,黑客可以通过它随时访问和控制受害者服务器。

Webshell后门文件对于攻击者来说是非常有用的,因为它可以让攻击者在受害者服务器上执行远程代码,并从受害者服务器上获取所有敏感信息,如数据库账号激消密码、文件等等。

为了防余袜止Webshell后门文件的攻击,服务器管理员应该定期检查系统安全性,及时修复服务器上存在的漏洞,设置强密码、安装防火墙等竖铅激等。此外,及时更新服务器软件、及时扫描病毒、加密敏感文件等也是防止Webshell后门文件攻击的重要手段。

1、阿里云提示在x.x.x.x服务器上发现木马文件,被植入了webshell。

2、木马文件路径:/web/tomcat-xxx/webapps/no3/cc.jsp。

1、在未确认cc.jsp文件功能之前,将webapps文件夹下的no3文件夹和no3.war文件删除,同时将no3.war文件备份到/home/xxx目录下。

2、同时将no3文件夹下的cc.jsp文件发送到本地进行分析,确认是一枝升个jsp的木马后门文件,可以获取远程服务器权限。

1、攻击者在webapps文件夹下上传了一个no3.war文件,并创建了包含cc.jsp木马文件的no3 文件夹,首先应找到上传的方式和路径。查看下网站,发现网站是采用的Tomcat容器。

2、进一步的思路是排查Tomcat本身的漏洞,查看Tomcat的配置文件tomcat-users.xml,发现Manager APP管理员弱口令。

3、可能的攻击思路是,通过Tomcat弱口令漏洞上传耐薯war格式的木马文件。

1、通过admin/admin弱口令登录 http://x.x.x.x/ 的Manager App功能。

2、然后找到WAR file to depoly功能,上传一个包含了木马的Tomcat WAR包。WAR包类似于一个网站的压缩包文件,可以在WAR包里构造好自己的木马,然后传至服务器。

3、在这里测试上传了一个goodwin.war文件(war里边包含了一个木马文件cc.jsp),上传成功之后在服务器的网站根目录下会自动解压生成一个goodwin的文件夹。而木马文件cc.jsp就在goodwin文件夹内。

4、祭出菜刀神器,添加并连接刚才上传的木马文件地址,密码023。

5、然后打开文件管理功能,发现我们已经获得了服务器权限,并可以访问服务器上的所有文件。

6、这样就复现了攻击者通过上传一个no3.war文件,并自动解压生成一个包含了cc.jsp木昌搭者马的no3文件夹,然后通过远程连接获取了服务器的webshell,拿下了服务器权限的过程。

1、确定可疑文件为木马后门后,删除服务器上备份的no3.war。

2、删除测试过程上传的goodwin.war文件和goodwin文件夹下的所有文件。

3、修改Tomcat管理员密码。

1、排查并删除服务器上的可疑用户cat /etc/passwd。

2、不定期修改Tomcat口令,更改为包含了大写字母、小写字母、数字、特殊字符的强密码。

3、升级Tomcat版本,目前采用的版本为7.0.54,存在多个安全漏洞,建议升级到最新版本7.0.88。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/tougao/12156494.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-21
下一篇 2023-05-21

发表评论

登录后才能评论

评论列表(0条)

保存