Jump to content

Веб-оболочка

Веб-оболочка это интерфейс, похожий на оболочку , который обеспечивает удаленный доступ к веб-серверу , часто в целях кибератак . [1] Веб-оболочка уникальна тем, что веб-браузер . для взаимодействия с ней используется [2] [3]

Веб-оболочка может быть запрограммирована на любом языке программирования , поддерживаемом сервером. Веб-оболочки чаще всего пишутся на PHP из-за широкого использования PHP для веб-приложений . Хотя Active Server Pages , ASP.NET , Python , Perl , Ruby и Unix. оболочки также используются сценарии [1] [2] [3]

Используя инструменты мониторинга сети , злоумышленник может найти уязвимости , которые потенциально могут сделать возможным доставку веб-оболочки. Эти уязвимости часто присутствуют в приложениях, запускаемых на веб-сервере. [2]

Злоумышленник может использовать веб-оболочку для ввода команд оболочки, повышения привилегий на веб-сервере, а также для возможности загружать , удалять , загружать и выполнять файлы на веб-сервере и с него. [2]

Общее использование [ править ]

Веб-шеллы используются в атаках главным образом потому, что они многоцелевые и их трудно обнаружить. [4] Их обычно используют для:

Веб-оболочки дают хакерам возможность красть информацию, портить данные и загружать вредоносные программы , которые наносят больший ущерб системе. Проблема обостряется, когда хакеры используют скомпрометированные серверы, чтобы проникнуть в систему и поставить под угрозу дополнительные машины. Веб-оболочки также являются способом, с помощью которого злоумышленники нацеливаются на различные отрасли, включая правительственную, финансовую и оборонную, посредством кибершпионажа. Одна из очень известных веб-оболочек, используемых таким образом, известна как « China Chopper ». [6]

Доставка веб-шеллов [ править ]

Веб-оболочки устанавливаются через уязвимости в веб-приложении или слабую конфигурацию безопасности сервера, включая следующее: [2] [4]

Злоумышленник также может изменить ( подделать ) Content-Type заголовок, который будет отправлен злоумышленником при загрузке файла, чтобы обойти неправильную проверку файла (проверка с использованием типа MIME, отправленного клиентом), что приведет к успешной загрузке оболочки злоумышленника.

Пример [ править ]

Ниже приведен простой пример веб-оболочки, написанной на PHP, которая выполняет и выводит результат команды оболочки: 

<?=`$_GET[x]`?>

Предполагая, что имя файла example.php, пример вывода содержимого /etc/passwd файл показан ниже: 

https://example.com/example.php?x=cat%20%2Fetc%2Fpasswd

Приведенный выше запрос примет значение x параметр строки запроса , отправляя следующую команду оболочки: 

cat /etc/passwd

Этого можно было бы избежать, если бы функции оболочки PHP были отключены, чтобы произвольные команды оболочки не могли выполняться из PHP.

Предотвращение и смягчение последствий [ править ]

Веб-оболочка обычно устанавливается с использованием уязвимостей, присутствующих в программном обеспечении веб-сервера. Вот почему важно удалить эти уязвимости, чтобы избежать потенциального риска взлома веб-сервера.

Ниже приведены меры безопасности для предотвращения установки веб-оболочки: [2] [3]

Обнаружение [ править ]

Веб-оболочки можно легко модифицировать, поэтому обнаружить веб-оболочки непросто, а антивирусное программное обеспечение часто не может обнаружить веб-оболочки. [2] [9]

Ниже приведены общие индикаторы присутствия веб-оболочки на веб-сервере: [2] [3]

  • Аномально высокая загрузка веб-сервера (из-за интенсивной загрузки и выгрузки злоумышленником); [2] [9]
  • Файлы с ненормальной отметкой времени (например, новее даты последнего изменения); [9]
  • Неизвестные файлы на веб-сервере;
  • Файлы, имеющие сомнительные ссылки, например, cmd.exe или eval;
  • Неизвестные соединения в логах веб-сервера

Например, файл, генерирующий подозрительный трафик (например, файл PNG , запрашивающий параметры POST ). [2] [10] [11] [12] Сомнительные входы с серверов DMZ во внутренние подсети и наоборот. [2]

Веб-оболочки также могут содержать форму входа, которая часто маскируется под страницу с ошибкой . [2] [13] [14] [15]

Используя веб-оболочки, злоумышленники могут изменить файл .htaccess (на серверах с программным обеспечением Apache HTTP Server ) на веб-серверах, чтобы перенаправить поисковых систем запросы на веб-страницу с вредоносным ПО или спамом . Часто веб-оболочки обнаруживают пользовательский агент , и контент, представленный пауку поисковой системы, отличается от контента, представленного браузеру пользователя. Чтобы найти веб-оболочку, пользовательского агента обычно требуется смена бота-сканера. Как только веб-оболочка будет идентифицирована, ее можно будет легко удалить. [2]

Анализ журнала веб-сервера может определить точное местоположение веб-оболочки. Законные пользователи/посетители обычно имеют разные пользовательские агенты и ссылки , с другой стороны, веб-оболочку обычно посещает только злоумышленник, поэтому вариантов строк пользовательского агента очень мало. [2]

См. также [ править ]

Ссылки [ править ]

  1. ^ Jump up to: Перейти обратно: а б «Как можно использовать веб-оболочки для взлома инструментов и серверов безопасности?» . Поисковая безопасность . Архивировано из оригинала 28 марта 2019 г. Проверено 21 декабря 2018 г.
  2. ^ Jump up to: Перейти обратно: а б с д и ж г час я дж к л м н тот п д р с т в v В х и Министерство внутренней безопасности США (9 августа 2017 г.). «Веб-оболочки – осведомленность об угрозах и руководство» . www.us-cert.gov . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г. Общественное достояние В данную статью включен текст из этого источника, находящегося в свободном доступе .
  3. ^ Jump up to: Перейти обратно: а б с д админ (3 августа 2017 г.). «Что такое веб-оболочка?» . вредоносное ПО.эксперт . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г.
  4. ^ Jump up to: Перейти обратно: а б с «Кибердеятельность правительства России, направленная на энергетику и другие критически важные инфраструктурные сектора – US-CERT» . www.us-cert.gov . 16 марта 2018 г. Архивировано из оригинала 20 декабря 2018 г. Проверено 20 декабря 2018 г.
  5. ^ соорганизатор, Макис Мурелатос, инженер по безопасности WordPress на FixMyWPWC в Афинах 2016; Поддержка, WP; Поклонник безопасности; Кайтсерфер, Wannabe (16 октября 2017 г.). «Полное руководство по бэкдор-атакам — что такое бэкдоры WebShell» . fixmywp.com . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
  6. ^ Ханнусс, Абдельхаким; Яхиуш, Салима (01 сентября 2021 г.). «Обработка атак через веб-шелл: систематическое картирование и исследование» . Компьютеры и безопасность . 108 : 102366. doi : 10.1016/j.cose.2021.102366 . ISSN   0167-4048 .
  7. ^ «Есть WordPress? Число атак на веб-шелл PHP C99 растёт» . 14 апреля 2016 г. Архивировано из оригинала 29 декабря 2018 г. . Проверено 21 декабря 2018 г.
  8. ^ Jump up to: Перейти обратно: а б «Взлом Equifax можно было бы «полностью предотвратить», если бы использовались базовые меры безопасности, — говорится в докладе Палаты представителей» . 10 декабря 2018 г. Архивировано из оригинала 20 декабря 2018 г. Проверено 21 декабря 2018 г.
  9. ^ Jump up to: Перейти обратно: а б с «Разрушение веб-оболочки China Chopper — Часть I «Разрушение веб-оболочки China Chopper — Часть I» . Огненный Глаз . Архивировано из оригинала 13 января 2019 года . Проверено 20 декабря 2018 г.
  10. ^ «Системы обнаружения и предотвращения вторжений» . Архивировано из оригинала 13 января 2019 г. Проверено 22 декабря 2018 г.
  11. ^ LightCyber, Кейси Кросс, старший менеджер по продукту (16 июня 2016 г.). «Пять признаков того, что злоумышленник уже в вашей сети» . Сетевой мир . Архивировано из оригинала 13 января 2019 года . Проверено 22 декабря 2018 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  12. ^ «Анализ трафика для сетевой безопасности: два подхода к выходу за рамки данных о сетевых потоках» . 15 сентября 2016 г. Архивировано из оригинала 14 ноября 2016 г. Проверено 22 декабря 2018 г.
  13. ^ «Хакеры скрывают вход в веб-оболочку на поддельных страницах ошибок HTTP» . Мигающий компьютер . Архивировано из оригинала 26 июля 2018 года . Проверено 21 декабря 2018 г.
  14. ^ «Хакеры скрывают вход в веб-оболочку на поддельных страницах ошибок HTTP» . УгрозаВороны . 24 июля 2018 г. Архивировано из оригинала 13 января 2019 г. . Проверено 17 февраля 2019 г.
  15. ^ «Хакеры скрывают вход в веб-оболочку на поддельных страницах ошибок HTTP» . cyware.com . Архивировано из оригинала 13 января 2019 года . Проверено 22 декабря 2018 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Web_shell&oldid=1220930774"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: cf862464ba5b8c36727d2b4110de8fcb__1714151040
URL1:https://arc.ask3.ru/arc/aa/cf/cb/cf862464ba5b8c36727d2b4110de8fcb.html
Заголовок, (Title) документа по адресу, URL1:
Web shell - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)