Webshell被上传溯源事件分析

典型事件示例

案例1：CMS漏洞利用

事件描述： 某企业网站使用老旧版本的WordPress，攻击者利用已知的插件漏洞上传webshell文件(如"shell.php")，获取服务器控制权。

溯源发现： 1. 服务器日志显示攻击来自IP 185.143.223.X 2. 文件创建时间戳与日志中的POST请求时间匹配 3. webshell文件包含特征码"eval(base64_decode(" 4. 攻击者通过该shell下载了数据库备份

案例2：文件上传功能绕过

事件描述： 某电商网站图片上传功能未做严格过滤，攻击者通过修改Content-Type和文件扩展名(.jpg.php)上传webshell。

溯源发现： 1. 应用日志显示异常大的"图片"上传(实际是webshell) 2. 攻击者使用Burp Suite修改了原始请求 3. webshell被放置在/uploads/temp/目录下 4. 后续连接来自TOR出口节点

常见溯源方法

1. 日志分析

• Web服务器访问日志(查找异常POST/PUT请求)
• 文件系统日志(监控敏感目录的文件创建)
• 数据库查询日志(异常查询模式)

2. 文件特征检查

• 查找非常规的.php、.jsp、.asp文件
• 检查文件内容中的危险函数： php eval(), system(), exec(), passthru(), shell_exec()
• 检查最近修改的可执行文件

3. 网络流量分析

• 异常出站连接(特别是到未知IP的SSH/FTP)
• 加密流量中的固定模式(webshell通信特征)
• 非标准端口的HTTP流量

4. 系统进程检查

• 异常子进程(如Apache spawn bash)
• 计划任务中的可疑条目
• 权限异常的服务账户活动

防护建议

1. 输入验证：

   • 严格限制上传文件类型
   • 使用白名单而非黑名单
   • 重命名上传文件

2. 权限控制：

   • Web服务器以低权限用户运行
   • 禁用目录执行权限
   • 设置文件系统监控(如inotify)

3. 系统加固：

   # 示例：限制PHP危险函数
   disable_functions = "exec,passthru,shell_exec,system"
   

4. 持续监控：

   • 部署文件完整性监控工具
   • 设置Web应用防火墙(WAF)规则
   • 定期更新漏洞扫描

5. 应急响应：

   • 隔离受影响系统
   • 保留证据(日志、内存dump)
   • 重置所有凭据

通过综合应用这些方法，可以有效发现并阻断webshell攻击，同时为后续溯源提供必要证据。