3. CSDN Webshell 典型处置案例

案例一:Windows 服务器网站后台被篡改

事件背景

在 2018 年 11 月 29 日 4 时 47 分,某网站管理员发现网站后台登录页面被篡改,“中招"服务器为 Windows 系统,应采用 Java 语言开发,所使用的中间件为 Tomcat。

Webshell 排查

  • 利用 D 盾对网站目录进行扫描,发现 Webshell 痕迹
  • 查看对应的文件内容,确认为 Webshell
  • 通过 D 盾的扫描结果定位 Webshell 文件位于网站 root 根目录(\root\indexweb4.jsp),文件的创建时间为 2018 年 11 月 23 日 5 时 55 分

Web 日志分析

  • 进一步分析 Web 日志。Web 应用运行在 Tomcat 中间件上,查看 Tomcat 的配置文件 server.xml,发现其中的日志配置项被注释,即未启用日志,因此导致无 Web 日志记录
  • 对系统后台进行人工排查,发现系统对互联网开放,且管理员与其他角色用户均使用相同弱密码"asd123”
  • 系统显示攻击者在 2018 年 11 月 29 日 4 时 47 分左右通过网站管理后台对登录界面 Logo 进行了篡改
  • 同时,经排查发现 Tomcat 中间件使用了弱密码"tomcat",攻击者可以轻易登录 probe 监控系统

系统排查

  • 查看服务器上的安全软件告警发现存在多次恶意进程执行记录,并请求恶意域名下载恶意程序
  • 最早在 2018 年 11 月 23 日 0 时 44 分,该恶意程序就已在服务器上运行
  • 逆向分析病毒文件,查看此恶意程序攻击行为,可基本确定其对应挖矿木马特征
  • 可见攻击者不仅篡改网页,同时还植入挖矿程序进行挖矿

经验教训

  • 安全日志的重要性:未启用 Web 日志导致无法追踪攻击者行为
  • 弱密码的危害:管理员使用"asd123"、Tomcat 使用"tomcat"等弱密码
  • 攻击者多重目的:不仅篡改网页,还植入挖矿程序

案例二:Linux 服务器 Webshell 入侵

事件背景

某 Linux 服务器网站被植入 Webshell,攻击者通过文件上传漏洞获取服务器权限。

排查过程

  • 使用河马 Webshell 查杀工具扫描网站目录
  • 发现可疑的 PHP 文件,通过文件创建时间、修改时间进行分析
  • 检查系统日志、Apache/Nginx 日志
  • 排查异常进程、网络连接

处置措施

  • 删除 Webshell 文件
  • 修复文件上传漏洞
  • 修改所有弱口令
  • 启用完整的日志记录
  • 部署 WAF 防护

经验教训

  • 文件上传漏洞是 Webshell 植入的主要途径
  • 必须对上传文件进行严格的类型检查和内容验证
  • 定期扫描 Web 目录,及时发现可疑文件
  • 启用完整的日志记录对于事件溯源至关重要

防护建议

  1. 禁用不必要的日志配置:确保 Web 服务器启用完整的访问日志和错误日志
  2. 强密码策略:禁止使用弱口令,实施多因素认证
  3. 定期扫描:使用 D 盾、河马等工具定期扫描 Web 目录
  4. 最小权限原则:Web 服务账户应具有最小权限
  5. WAF 部署:部署 Web 应用防火墙防护文件上传漏洞
  6. 备份策略:实施 3-2-1 备份策略,确保可快速恢复
  • 链接:https://blog.csdn.net/qq_50765147/article/details/136614996