网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。
现象描述
网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析。
Webshell查杀工具:
D盾_Web查杀:http://www.d99net.net/index.asp
河马:支持多平台,但是需要联网环境。
使用方法:
wget http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz
tar xvf hm-linux-amd64.tgz
hm scan /www
事件分析
1、定位时间范围
通过发现的webshell文件创建时间点,去翻看相关日期的访问日志。