攻擊者向服務(wù)器中添加惡意后門工具�����,以實現(xiàn)對整個服務(wù)器的控制
WebShell是可以在系統(tǒng)上運行并且可以遠程管理電腦的腳本或代碼(以PHP、Perl�����、Python等腳本語言編寫而成)���。盡管很多時候WebShell可以用作遠程管理工具���,但是它們也很有可能會被惡意軟件編寫者利用�,作為入侵網(wǎng)站的工具��。一旦攻擊者可以在Web服務(wù)器上執(zhí)行此腳本�,他就獲得了對托管操作系統(tǒng)外殼程序的訪問權(quán)限,與Web服務(wù)器擁有相同的特權(quán)��。為了躲避防火墻或殺毒軟件的檢測�����,攻擊者通常會采用代碼混淆與加密等規(guī)避技術(shù)�����。企業(yè)需要完整的內(nèi)容檢測方法來檢測并攔截WebShell的傳播�����,并且可以采用各種常見混淆技術(shù)或解密腳本來揭露其真正意圖�。
以下是Websense安全專家檢測到的另一起網(wǎng)絡(luò)攻擊。在此次攻擊中,攻擊者利用了一個名為"oRb"的自定義WebShell�����。該WebShell本身可以通過混淆技術(shù)來躲避檢測�,并且使用了帶有"e"修飾符的preg_replace函數(shù)。此外�����,通過在標題中聲明文件類型是圖形文件�,服務(wù)于此WebShell的URL也在試圖誤導(dǎo)系統(tǒng)安全工具。
一旦WebShell腳本在網(wǎng)絡(luò)中運行�,就會為服務(wù)器的遠程操作提供相應(yīng)的Web接口:服務(wù)器信息、文件管理器(訪問文件系統(tǒng))�����、訪問執(zhí)行命令���、SQL管理器�����、PHP代碼執(zhí)行、搜索文件與文件中的文本、上傳惡意內(nèi)容��、注入大量代碼等�,為企業(yè)網(wǎng)絡(luò)帶來了極大的安全威脅。
Websense安全專家表示��,Websense作為Web安全行業(yè)的領(lǐng)軍企業(yè)����,始終致力于保護用戶免受各種網(wǎng)絡(luò)攻擊的侵害。具有實時掃描功能的Websense ACE?(高級分類引擎)可以檢測各種混淆方法與技術(shù)�,阻止用戶對惡意WebShell或網(wǎng)頁的訪問,并監(jiān)控出站內(nèi)容����,防止敏感數(shù)據(jù)離開企業(yè)網(wǎng)絡(luò),為企業(yè)網(wǎng)絡(luò)提供實時的安全防護�。同時,Websense ThreatSeeker網(wǎng)絡(luò)作為具有網(wǎng)絡(luò)識別功能的最大規(guī)模智能網(wǎng)絡(luò)����,每天可以處理近50億的Web請求,為企業(yè)提供實時的安全分析更新�����。
