■河南 許紅軍

WebShell木馬其實(shí)就是以ASP、PHP、JSP或CGI等網(wǎng)頁(yè)文件形式存在的惡意文件，其本質(zhì)上是一種非法的命令執(zhí)行環(huán)境，或者可稱為網(wǎng)頁(yè)后門。當(dāng)黑客在入侵了一個(gè)網(wǎng)站后，通常會(huì)將ASP或PHP等后門文件與網(wǎng)站正常的網(wǎng)頁(yè)文件混在一起，然后就可以使用瀏覽器來(lái)訪問(wèn)ASP或者PHP等后門，得到一個(gè)命令執(zhí)行環(huán)境，以達(dá)到控制網(wǎng)站服務(wù)器的目的。

實(shí)戰(zhàn)清除WebShell木馬

某單位網(wǎng)站無(wú)法訪問(wèn)，對(duì)其進(jìn)行檢測(cè)后，發(fā)現(xiàn)其采用的是Nginx+Tomcat+MySQL的架構(gòu)，前端的Nginx服務(wù)器將請(qǐng)求發(fā)送給后端的多臺(tái)Tomcat服務(wù)器，實(shí)現(xiàn)負(fù)載均衡功能。

這些服務(wù)器上安裝的都是CentOS6.X系統(tǒng)，硬件配置較高，按照常理是不會(huì)出現(xiàn)反應(yīng)遲緩之類的問(wèn)題的。在Nginx服務(wù)器上執(zhí)行“top”命令，在“l(fā)oad average”欄中顯示系統(tǒng)的負(fù)載并不高，Nginx進(jìn)程的CPU占用率并不高，內(nèi)存是比較充裕的。總和來(lái)看，Nginx服務(wù)器的運(yùn)行狀態(tài)是正常的。

但是，在Tomcat服務(wù)器上執(zhí)行“top”命令后，發(fā)現(xiàn)系統(tǒng)的符合處于很高的狀態(tài)，內(nèi)存使用率居高不下，可用內(nèi)存只有兩三百兆。多個(gè)Java進(jìn)程的CPU占用率都長(zhǎng)時(shí)間處于100%狀態(tài)，啟用Java進(jìn)程的是普通賬戶。對(duì)多臺(tái)Tomcat服務(wù)器進(jìn)行檢測(cè)，發(fā)現(xiàn)情況都大體相似。

要想發(fā)現(xiàn)問(wèn)題所在，最好的辦法是查看相關(guān)的日志。在某臺(tái)Tomcat服務(wù)器上執(zhí)行“tail -f access_log.2019-07-21 .txt”命令，發(fā)現(xiàn)存在一些異常的訪問(wèn)信息，例如“Get/www/779.html HTTP/1.1”等內(nèi)容。

執(zhí)行“tail-f access_log.2019-07-21 .txt|grep 779.html”命令，顯示和該奇怪的“779.html”的所有信息。執(zhí)行“cat access_log.2019-07-21 |grep 779.html wc-l”命令，顯示訪問(wèn)該網(wǎng)頁(yè)文件的次數(shù)。發(fā)現(xiàn)針對(duì)該頁(yè)面的訪問(wèn)數(shù)量巨大，遠(yuǎn)遠(yuǎn)超出了日常實(shí)際的訪問(wèn)量。進(jìn)入網(wǎng)站目錄，執(zhí)行“l(fā)s”命令，發(fā)現(xiàn)存在很多名稱異常的HTML文件，這顯然不是系統(tǒng)生成的。打開問(wèn)這些來(lái)歷不明的HTML文件，發(fā)現(xiàn)都是一些涉嫌欺詐的廣告信息。毫無(wú)疑問(wèn)，網(wǎng)站一定被黑客滲透，并植入了WebShell木馬。

在網(wǎng)站目錄中仔細(xì)搜索，發(fā)現(xiàn)一個(gè)名為“welcome.jsp”的文件極為可疑，因?yàn)楦鶕?jù)日期判斷，該JSP文件創(chuàng)建的時(shí)間較新，和網(wǎng)站正常的JSP文件明顯不同。打開該JSP文件，發(fā)現(xiàn)設(shè)置一個(gè)JSP木馬程序，因?yàn)樵诔绦騼?nèi)部發(fā)現(xiàn)了諸如“process=Runtime.getRuntime().exe(cmd)”之類的語(yǔ)句，毫無(wú)疑問(wèn)，這是在執(zhí)行提交的命令。很顯然，黑客只需在訪問(wèn)該JSP 的地址后面添加注入“?cmd=ls”之類的內(nèi)容，就可以很輕松地執(zhí)行提交的命令，進(jìn)入對(duì)服務(wù)器進(jìn)行各種非法操作。

例如，黑客可以利用“touch”命令，在網(wǎng)站指定路徑寫入文件等。不過(guò)，因?yàn)閱⒂肨omcat 進(jìn)程的是普通用戶，所以黑客在執(zhí)行各種非法操作時(shí)，會(huì)因?yàn)闄?quán)限問(wèn)題無(wú)法對(duì)系統(tǒng)造成更大的破壞。如果是以Root 賬戶啟動(dòng)Tomacat 進(jìn)程的話，那么危害就太大了。黑客肯定不會(huì)滿足于此，一定會(huì)采用其他的方法方法來(lái)執(zhí)行提權(quán)操作，來(lái)獲取更大的權(quán)限。執(zhí)行“netstat -n|awk '/^tcp/{++S[$NF]}END {for (a in S) print a,S[a]}'”命令，分析服務(wù)器的網(wǎng)絡(luò)連接信息。

發(fā)現(xiàn)在“Time_Wait”和“ESTABLISHED”欄中顯示大量的連接數(shù)，前者表示連接被主動(dòng)關(guān)閉，正在等待遠(yuǎn)程Socket 關(guān)閉連接，后者表示正在使用的連接。這兩類連接比較高，說(shuō)明外界正在大量的和該服務(wù)器建立間接，服務(wù)器疲于應(yīng)對(duì)，消耗了大量資源，無(wú)法對(duì)這些連接做出正常響應(yīng)才造成無(wú)法正常訪問(wèn)的故障。

通過(guò)對(duì)網(wǎng)站進(jìn)行分析，發(fā)現(xiàn)被惡意注入了大量的垃圾廣告頁(yè)面和SEO 搜索信息，造成大量的無(wú)關(guān)訪問(wèn)。執(zhí)行“tail -f access_log.2019-07-21 .txt |grep xxxspider|wc”命令，果然在Tomcat日志中發(fā)現(xiàn)和某些搜索引擎相關(guān)的連接信息，其中的“xxx”為具體的搜索引擎名稱。

針對(duì)以上分析，黑客之所以可以在網(wǎng)站網(wǎng)站中傳入WebShell 木馬，肯定是利用了對(duì)網(wǎng)站的某些漏洞。經(jīng)過(guò)對(duì)網(wǎng)站程序的分析，發(fā)現(xiàn)一段驗(yàn)證代碼存在安全問(wèn)題，造成黑客破解了后臺(tái)管理頁(yè)面的登錄信息，進(jìn)而上傳了WebShell 木馬。

因此，首先對(duì)網(wǎng)站程序進(jìn)行修補(bǔ)，加強(qiáng)了安全性。為了防止惡意網(wǎng)絡(luò)爬蟲對(duì)網(wǎng)站進(jìn)行襲擾，可以打開Nginx的配置文件“nginx.conf”，在其中對(duì)應(yīng)的“{server}”段中添加“if ($http_user_agent～* "qihoobot|xxxS pider|yyyspider")”，“{”，“return 403；”，“}”等行，禁止指定的網(wǎng)絡(luò)爬蟲搜索本站。

其中的“xxx”“yyy”表示具體的爬蟲名稱，可以根據(jù)需要進(jìn)行修改和添加，爬蟲名稱之間以“|”連接。這樣，當(dāng)這些爬蟲搜索本站時(shí)，就會(huì)得到403 的錯(cuò)誤信息讓其無(wú)功而返。對(duì)網(wǎng)站文件進(jìn)行全面的掃描，發(fā)現(xiàn)并刪除大量的包含垃圾廣告內(nèi)容的頁(yè)面，清除發(fā)現(xiàn)的JSP 木馬程序。因?yàn)楹诳椭踩氲亩际庆o態(tài)頁(yè)面，后端的Tomcat 擅長(zhǎng)處理動(dòng)態(tài)頁(yè)面，對(duì)于靜態(tài)頁(yè)面處理的能力有限。

因此，為了提高網(wǎng)站性能，最后利用動(dòng)靜分離技術(shù)將靜態(tài)頁(yè)面交由Nginx 處理，讓Tomcat 只處理動(dòng)態(tài)頁(yè)面，這樣可以優(yōu)化網(wǎng)站結(jié)構(gòu)，具體的實(shí)現(xiàn)方法這里就不再贅述了。

經(jīng)過(guò)仔細(xì)的清除刪除操作，網(wǎng)站終于恢復(fù)到了正常的狀態(tài)。

WebShell 木馬的危害

針對(duì)以上和WebShell木馬的較量，可以看到WebShell 木馬具有很強(qiáng)的隱蔽性和破壞力。WebShell木馬一般會(huì)隱藏在正常文件中，并修改自身文件時(shí)間來(lái)逃避搜索，甚至有些WebShell 木馬還會(huì)利用服務(wù)器的某些漏洞進(jìn)行深度隱藏。比較狡猾的WebShell木馬還會(huì)藏身到正常的網(wǎng)頁(yè)文件中，利用特定的參數(shù)來(lái)運(yùn)行，這大大提高了其排查的難度。

WebShell 木馬可以很輕松突破服務(wù)器防火墻，因?yàn)槠涫抢肨CP 80 端口和黑客通訊，因此不會(huì)遭到防火墻的攔截。WebShell 的活動(dòng)狀態(tài)一般不會(huì)被系統(tǒng)日志記錄下來(lái)，只會(huì)在在網(wǎng)站的Web日志中留下一些蹤跡，缺乏經(jīng)驗(yàn)的管理員一般是難以發(fā)現(xiàn)其行蹤的。對(duì)于黑客來(lái)說(shuō)，一般會(huì)使用掃描器對(duì)網(wǎng)站進(jìn)行掃描，探測(cè)存在的漏洞，進(jìn)而獲取管理員的后臺(tái)密碼登錄到后臺(tái)管理環(huán)境。

之后利用后臺(tái)的管理工具，向網(wǎng)站特定位置寫入WebShell 木馬，黑客還可能自定義上傳文件類型，來(lái)非法上傳PHP、JSP 等木馬文件。對(duì)于操作系統(tǒng)來(lái)說(shuō)，也可能存在漏洞，黑客可以通過(guò)掃描這些漏洞，在系統(tǒng)中植入WebShell 木馬。有些網(wǎng)站在前臺(tái)程序中提供有上傳功能，這也給黑客的入侵帶來(lái)了便利，如果網(wǎng)站存取權(quán)限或者上傳目錄權(quán)限控制有漏洞的話，就很容易招致黑客的攻擊。

防御WebShell 木馬的策略

對(duì)于動(dòng)態(tài)網(wǎng)頁(yè)來(lái)說(shuō)，要從根本上提高腳本的安全問(wèn)題，必須做到防注入、防爆庫(kù)、防COOKIES 欺騙、防跨站攻擊（xss）等。

例如對(duì)于可寫目錄來(lái)說(shuō)，不要設(shè)置執(zhí)行權(quán)限，有執(zhí)行權(quán)限的目錄不要設(shè)置寫權(quán)限等。在維護(hù)網(wǎng)站時(shí)，最好使用FTP 來(lái)上傳文件，盡量不要使用ASP、PHP 等上傳程序。ASP/JSP 等上傳程序的調(diào)用必須進(jìn)行身份認(rèn)證，只允許信任用戶使用上傳程序。

網(wǎng)站后臺(tái)的管理員賬戶名和密碼要有一定復(fù)雜性，不能過(guò)于簡(jiǎn)單，還要注意定期更換。對(duì)于網(wǎng)站數(shù)據(jù)庫(kù)名稱和存放路徑來(lái)說(shuō)，不要使用默認(rèn)路徑，要進(jìn)行適當(dāng)?shù)男薷?，?shù)據(jù)庫(kù)名稱要有一定復(fù)雜性。要盡量保持程序是最新版本，防范存在的漏洞。不要在網(wǎng)頁(yè)上添加后臺(tái)管理程序登錄頁(yè)面鏈接。為防止程序有未知漏洞，可以在維護(hù)后刪除后臺(tái)管理程序的登錄頁(yè)面，下次維護(hù)時(shí)再通過(guò)上傳即可。要時(shí)常備份數(shù)據(jù)庫(kù)等重要文件，在平常的維護(hù)時(shí)，要細(xì)心查看是否存在來(lái)歷不明的腳本文件。

利用合適的規(guī)則上傳文件，禁止上傳存在安全風(fēng)險(xiǎn)的文件類型，上傳目錄權(quán)限遵循最小權(quán)限原則?？偟膩?lái)說(shuō)，需要對(duì)網(wǎng)站進(jìn)行定期的掃描和安全監(jiān)測(cè)，及時(shí)修復(fù)存在的漏洞，對(duì)于程序的上傳功能來(lái)說(shuō)，要進(jìn)行必要的限制和優(yōu)化，強(qiáng)化對(duì)于權(quán)限的管理，重要的目錄必須限制腳本的運(yùn)行權(quán)限，甚至禁止腳本的運(yùn)行。后臺(tái)網(wǎng)站密碼要僅可能的復(fù)雜，后臺(tái)路徑不要使用“Login”“Admin”等易于被猜測(cè)到的路徑名等。

操作系統(tǒng)要做好基礎(chǔ)的安全維護(hù)工作，例如封鎖危險(xiǎn)的端口，配置嚴(yán)格的安全策略，及時(shí)打上最新的補(bǔ)丁等，讓黑客無(wú)機(jī)可乘，使其無(wú)法利用WebShell 木馬來(lái)攻擊網(wǎng)站。