這里跟大家分享一下被上傳后門（webshell）的應急思路

webshell應急響應

一、webshell是什么？

(資料圖)

二、webshell分類

三、webshell處置流程

四、Web日志解析

IIS日志

Apache日志

一、webshell是什么？

webshell是一種代碼執行環境，通常以asp、php、jsp等網頁文件形式存在。

黑客通常會webshell文件上傳到服務器web目錄下，作為后門文件，使用瀏覽器或專用客戶端連接，從而控制網站服務器。

二、webshell分類

按照腳本類型可以分為jsp、asp、php三種。

1）jsp（Java Server Pages）常搭配Java語言，將動態的Java代碼嵌入到靜態的HTML頁面中，文件名是 xx.jsp。

<%Runtime.getRuntime().exec(request.getParameter("shell"));%>

2）asp（Active Server Pages）常用于小型頁面應用的開發，一些古老的網站仍在使用，文件名是 xx.asp和 xx.apsx。

<%eval request("shell")%>

3）php（Hypertext Preprocessor）是世界上最好的語言，文件名是 xx.php。

<?php @eval($_GET["shell"]); ?>

三、webshell處置流程

1）根據webshell文件的創建時間，判斷攻擊時間。

2）排查攻擊時間前后的網站web日志，尋找攻擊路徑。

3）針對攻擊路徑的接口，排查網站存在的漏洞。

4）復現漏洞，還原攻擊路徑。

5）清除webshell文件，修復漏洞。

四、Web日志解析

常見的Web日志有兩種：W3C日志格式 和 NCSA日志格式。

W3C日志格式主要在IIS中應用；Apache、Tomcat、Nginx等Web容器主要使用NCSA格式。這里以IIS和Apache為例，講解一下兩種日志的格式。

1、IIS日志默認位置：%systemroot%\system32\logfiles\，??????????? 比如：C:\WINDOWS\system32\LogFiles\W3SVC20110218日志文件：ex+年份的末兩位數字+月份+日期 .log????? 比如2010年7月30日的日志：ex100730.log默認每天一個日志。IIS采用W3C日志格式，可按需勾選記錄的字段。

核心字段解釋（從左到右）：

2002-07-18 09:53:52：請求時間

10.152.8.17 - 10.152.8.2 80：客戶端IP訪問了服務器IP的80端口。

GET：請求方式

/index.htm：請求URL

-:200：響應狀態碼

客戶端UA信息

2、Apache日志默認位置（Linux）：/usr/local/apache/logs默認位置（Windows）：Apache安裝目錄/logs/日志文件（Linux）：access_log、error_log日志文件（Windows）：access.log、error_logaccess記錄網站訪問日志，error記錄服務器運行的錯誤日志。訪問日志通常是下面這種格式：192.168.111.1 - - [01/Apr/2023:10:37:19 +0800] "GET / HTTP/1.1" 200 45

核心字段解釋：

192.168.111.1：請求IP（訪問網站的IP）

-：E-mail，此處為空。

-：登錄名，此處為空。

[01/Apr/2023:10:37:19 +0800]：請求時間

“GET / HTTP/1.1”：請求方式和協議

200：響應狀態碼

45：字節數