应急响应之如何快速定位Webshell文件?
2022-7-25 00:2:7 Author: LemonSec(查看原文) 阅读量:15 收藏

WebShell是以Asp、Php、Jsp或Cgi等网页文件的形式存在的一种命令执行环境,也可以将其称作为一种网页后门。黑客在入侵了一个网站后,通常会将后门文件与网站服务器Web目录下正常的网页文件混在一起,然后就可以使用特定工具来访问Webshell后门,获得命令执行环境,达到控制网站服务器的目的。

当服务器被植入Webshell时,如何快速进行应急响应?其中最主要的步骤是找到隐藏的Webshell文件,下面将介绍常用快速定位Webshell文件的方法。

1

通过URL信息获取

如果能获取到恶意请求的URL信息,就可以根据URL信息定位到Webshell文件。URL信息可以通过态势感知、WAF等监测预警系统获取,也可以通过对系统异常时间段的Web日志进行审计获取。

2

通过扫描工具扫描获取

通过Webshell查杀工具进行扫描,可以定位到部分免杀能力不强的Webshell文件。例如:D盾、河马等工具。

3

根据文件创建/修改时间获取

可以重点排查事发过程中被创建或修改的文件,对这些文件进行锁定并查看文件属性。例如:Windows文件的时间属性,选择一个文件右键“属性”即可查看文件的时间属性,可以看到有“创建时间”、“修改时间”和“访问时间”三个属性:

- 创建时间:该文件在本载体本地址上创建的时间。

- 修改时间:在属性中保存的最后一次修改的时间。

- 访问时间:在属性中保存的最后一次访问的时间。

通过文件夹查看最近创建、修改的文件。

默认情况下,仅显示“修改日期”时间戳。当需要添加其他时间戳时,右键单击列标题上的任意位置,然后选择“更多”选项。

通过Windows Search查看最近创建和修改的文件。

除了指定“修改日期”(datemodified)外,还可以指定“创建日期”(datecreated)、“访问日期”(dateaccessed)。默认情况下,Windows将仅在索引位置中查找最近修改的文件。包括非索引位置,单击“搜索工具”中的“高级选项”,然后选中“系统文件”。

侵权请私聊公众号删文

 热文推荐  

欢迎关注LemonSec

觉得不错点个“赞”、“在看”


文章来源: http://mp.weixin.qq.com/s?__biz=MzUyMTA0MjQ4NA==&mid=2247530265&idx=2&sn=c3b8c731115f0f19820fc0e759625d89&chksm=f9e31842ce9491540ed64809db880ca7a03fd4f69f2e86990c96bd6f72fd1365405c64cb0ec8#rd
如有侵权请联系:admin#unsafe.sh