這里跟大家分享一下被上傳后門（webshell）的應(yīng)急思路

webshell應(yīng)急響應(yīng)

一、webshell是什么？

二、webshell分類

三、webshell處置流程

四、Web日志解析

1. IIS日志

2. Apache日志

一、webshell是什么？

webshell是一種代碼執(zhí)行環(huán)境，通常以asp、php、jsp等網(wǎng)頁文件形式存在。

黑客通常會webshell文件上傳到服務(wù)器web目錄下，作為后門文件，使用瀏覽器或?qū)Ｓ每蛻舳诉B接，從而控制網(wǎng)站服務(wù)器。

二、webshell分類

按照腳本類型可以分為jsp、asp、php三種。

1）jsp（Java Server Pages）常搭配Java語言，將動態(tài)的Java代碼嵌入到靜態(tài)的HTML頁面中，文件名是 xx.jsp。

<%Runtime.getRuntime().exec(request.getParameter("shell"));%>

2）asp（Active Server Pages）常用于小型頁面應(yīng)用的開發(fā)，一些古老的網(wǎng)站仍在使用，文件名是 xx.asp 和 xx.apsx。

<%eval request("shell")%>

3）php（Hypertext Preprocessor）是世界上最好的語言，文件名是 xx.php。

<?php @eval($_GET["shell"]); ?>

三、webshell處置流程

1）根據(jù)webshell文件的創(chuàng)建時間，判斷攻擊時間。

2）排查攻擊時間前后的網(wǎng)站web日志，尋找攻擊路徑。

3）針對攻擊路徑的接口，排查網(wǎng)站存在的漏洞。

4）復(fù)現(xiàn)漏洞，還原攻擊路徑。

5）清除webshell文件，修復(fù)漏洞。

四、Web日志解析

常見的Web日志有兩種：W3C日志格式 和 NCSA日志格式。

W3C日志格式主要在IIS中應(yīng)用；Apache、Tomcat、Nginx等Web容器主要使用NCSA格式。這里以IIS和Apache為例，講解一下兩種日志的格式。

1、IIS日志

默認(rèn)位置：%systemroot%\system32\logfiles\，
??????????? 比如：C:\WINDOWS\system32\LogFiles\W3SVC20110218

日志文件：ex+年份的末兩位數(shù)字+月份+日期 .log
????? 比如2010年7月30日的日志：ex100730.log

默認(rèn)每天一個日志。

IIS采用W3C日志格式，可按需勾選記錄的字段。

核心字段解釋（從左到右）：

• 2002-07-18 09:53:52：請求時間

• 10.152.8.17 - 10.152.8.2 80：客戶端IP訪問了服務(wù)器IP的80端口。

• GET：請求方式

• /index.htm：請求URL

• -:200：響應(yīng)狀態(tài)碼

• 客戶端UA信息

2、Apache日志

默認(rèn)位置（Linux）：/usr/local/apache/logs
默認(rèn)位置（Windows）：Apache安裝目錄/logs/

日志文件（Linux）：access_log、error_log
日志文件（Windows）：access.log、error_log

access記錄網(wǎng)站訪問日志，error記錄服務(wù)器運(yùn)行的錯誤日志。

訪問日志通常是下面這種格式：
192.168.111.1 - - [01/Apr/2023:10:37:19 +0800] "GET / HTTP/1.1" 200 45

核心字段解釋：

• 192.168.111.1：請求IP（訪問網(wǎng)站的IP）

• -：E-mail，此處為空。

• -：登錄名，此處為空。

• [01/Apr/2023:10:37:19 +0800]：請求時間

• “GET / HTTP/1.1”：請求方式和協(xié)議

• 200：響應(yīng)狀態(tài)碼

• 45：字節(jié)數(shù)