网站被植入webshell，意味着网站存在可利用的高危漏洞，攻击者通过利用漏洞入侵网站，写入webshell接管网站的控制权。为了得到权限 ，常规的手段如：前后台任意文件上传，远程命令执行，Sql注入写入文件等。

现象描述

网站管理员在站点目录下发现存在webshell，于是开始了对入侵过程展开了分析。

Webshell查杀工具：

D盾_Web查杀：http://www.d99net.net/index.asp

河马：支持多平台，但是需要联网环境。

使用方法:

wget http://down.shellpub.com/hm/latest/hm-linux-amd64.tgz 
tar xvf hm-linux-amd64.tgz
hm scan  /www

事件分析

1、定位时间范围

通过发现的webshell文件创建时间点，去翻看相关日期的访问日志。

2、Web 日志分析

经过日志分析，在文件创建的时间节点并未发现可疑的上传，但发现存在可疑的webservice接口

3、漏洞分析

访问webservice接口，发现变量：buffer、distinctpach、newfilename可以在客户端自定义

4、漏洞复现

尝试对漏洞进行复现，可成功上传webshell，控制网站服务器

5、漏洞修复

清除webshell并对webservice接口进行代码修复。

从发现webshell到日志分析，再到漏洞复现和修复，本文暂不涉及溯源取证方面。

本文作者：Bypass007

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/123390.html