Máy chủ web bị thoả hiệp và Web Shell - nhận mặt và khắc phục sự cố

Mã tin: 2187149 - Lượt xem: 83 - Trả lời: 0
Đặt tin VIP ngày: Soạn CV3 2187149 gửi 8777 (15k/sms. Mỗi tin + 24 giờ)
Đặt tin VIP tháng? Bấm vào đây
  1. Linh vattubk
    Linh vattubk - 06/01/2020
    Thành viên mới Tham gia: 04/05/2016 Bài viết: 1.794 Điện thoại: 0963237535
    1. Tín hiệu

    các máy chủ web bị thoả hiệp mang các web shell độc hại đã được cài đặt.

    2. Tổng quan

    Cảnh báo này biểu đạt việc tiêu dùng thường xuyên các web shell như là một hướng khai thác. Những webshell có thể sử dụng để đạt được quyền truy tìm cập trái phép và có thể dẫn tới mạng lưới rộng hơn bị thoả hiệp. Thông tin này nhằm chỉ ra mối đe dọa và phân phối các chiến lược đề phòng, phát hiện và tránh tối đa thiệt hại.

    Việc sử dụng web shell liên tục do Advanced Persistent Threat (APT) và những lực lượng phạm nhân đã dẫn đến các sự cố đáng nhắc trên mạng.

    Sản phẩm này được lớn mạnh bởi các bên US-CERT tại Vương quốc Anh, Úc, Canada và New Zealand, do dó sản phẩm vững mạnh dựa trên những hoạt động chỉ tiêu của chính các quốc gia này. Những biện pháp phát hiện và giảm nhẹ được nêu trong tài liệu này sẽ miêu tả sự Phân tích của gần như các bên tham gia.

    3. Biểu hiện (Description)

    biểu hiện Web Shell

    1 Web Shell là 1 script có thể được vận chuyển lên 1 web server cho phép điều khiển và quản lý trong khoảng xa. Các web servers bị nhiễm độc hại mang thể là mạng Internet hoặc mạng nội bộ, nơi mà các web shells được sử dụng để đi sâu hơn vào các host nội bộ.

    1 Web Shell với thể được viết bằng bất kỳ tiếng nói nào mà web servers đích tương trợ. Các web shell phổ quát nhất được viết bằng những tiếng nói cũng phổ biến ko kém, tỉ dụ như tiếng nói PHP và ASP. Perl, Ruby, Python, và Unix shell script...

    dùng các dụng cụ điều tra mạng, hacker với thân xác định những lỗ hổng có thể tiến công được và tiến hành cài đặt web shell. Thí dụ, các lỗ hổng này sở hữu thể còn đó trong các hệ thống quản lý nội dung (CMS) hoặc phần mềm web server.

    Sau lúc đã vận chuyển lên thành công, hacker có thể tiêu dùng web shell để tận dụng các kỹ thuật khai thác khác nhằm nâng cao đặc quyền và ra lệnh trong khoảng xa. Những lệnh này can hệ trực tiếp tới những đặc quyền và chức năng sẵn với của web server, những lệnh cùng lúc bao gồm khả năng thêm, xóa và thực thi những files cũng như các khả năng chạy những shell commands, các tệp thực thi, các scripts.

    >>> Xem thêm: máy chủ dell r940



    làm cho thế nào và tại sao chúng lại được sử dụng bởi đối thủ?

    Web shells thường được sử dụng trong sự thỏa hiệp, do sự kết hợp của tầm nã cập trong khoảng xa và các chức năng. Thậm chí những web shell đơn thuần vẫn có thể tạo ra 1 tác động đáng đề cập nhưng lại thường duy trì một sự hiện diện tối thiểu nhất.

    Web shells được dùng cho những mục đích dưới đây:

    - Thu thập và lọc những dữ liệu nhạy cảm, những thông báo quan trọng.

    - chuyển vận lên các phần mềm độc hại, VD: 1 lỗ hổng giúp gây nên sự lây lan ảnh hưởng và mang khả năng scan những nạn nhân tiếp theo.

    - Đóng vai trò như một điểm tựa để đáp ứng các lệnh cho các hosts trong mạng mà không cần phải tầm nã cập Internet trực tiếp.

    - sở hữu chức năng như một hạ tầng cơ sở vật chất điều khiển và kiểm soát, mang khả năng như một bot trong 1 mạng botnet hoặc trong sự tương trợ sở hữu những mạng bên ngoài. Điều này sẽ xảy ra nếu khi đối phương sở hữu ý định duy trì sự tồn tại trong khoảng thời gian dài.

    mặc dầu 1 web shell thường ko được sử dụng cho các cuộc tấn công DoS (DoS), nhưng nó vẫn có thể hoạt động như một platform để chuyên chở lên những công cụ khác, bao gồm cả DoS.

    4. Chiến thuật cung cấp (Delivery Tactics)

    Web shells mang thể được cung ứng qua 1 số áp dụng web hoặc các điểm yếu cấu hình bao gồm:

    - Cross-Site Scripting

    - SQL Injection

    - các lỗ hổng trong các ứng dụng/ nhà cung cấp (ví dụ: WordPress hoặc những ứng dụng CMS khác);

    - Lỗ hổng xử lý tệp (VD: lọc vận chuyển lên hoặc những quyền được chỉ định)

    - Lỗi hổng về Remote File Include (RFI) và Local File Include (LFI)

    - Giao diện admin bị lộ (có thể là các khu vực sở hữu thể tìm thấy những lỗ hổng được đề cập ở trên).

    các chiến thuật trên luôn sở hữu thể xảy ra và sở hữu khả năng phối hợp mang nhau 1 cách thức thường xuyên. Ví dụ: giao diện admin buộc phải tùy chọn tải tệp lên hoặc phương pháp khai thác khác được nhắc ở trên nhằm mục đích cho việc cung cấp thành công.

    6. Ảnh hưởng (Impact)

    1 Shell Script được chuyển vận lên thành công sẽ cho phép kẻ tấn công trong khoảng xa sở hữu khả năng vượt qua những giới hạn bảo mật và truy cập hệ thống một phương pháp trái phép.

    >>> Xem thêm: dell r740



    7. Biện pháp

    dự phòng và Giảm nhẹ

    Việc cài đặt một web Shell thường được thực hiện ưng chuẩn các lỗ hổng của vận dụng web hoặc các điểm yếu cấu hình. Bởi vậy, việc xác định được các lỗ hổng và đóng cửa các lỗ hổng này đóng vai trò khôn cùng quan yếu nhằm tránh những thỏa hiệp (compromise) sở hữu thể xảy ra. Hãy tham khảo những gợi ý giúp bảo mật dưới đây:

    - tiêu dùng các bản cập nhật thường xuyên cho các vận dụng và những host OS nhằm chống lại những lỗ hổng đa dạng.

    - thực hiện chính sách ít quyền dành đầu tiên nhất trên web server, nhằm hai mục đích sau:

    Giảm khả năng leo thang đặc quyền của đối phương hoặc xoay vòng sang những máy chủ khác.

    Kiểm soát việc tạo và thực thi các file trong các thư mục cụ thể.

    - giả dụ chưa sở hữu, hãy coi xét khai triển khu vực demilitarized zone (DMZ) giữa các hệ thống webfacing và mạng tổ chức. Hạn chế sự tương tác và hạn chế lưu lượng truy nã cập giữa chúng sẽ cung cấp 1 cách thức để xác định được những hoạt động độc hại sở hữu thể xảy ra.

    - Đảm bảo sự bảo mật của cấu hình những web severs. Gần như các nhà cung cấp và những ports ko cấp thiết cần được tắt đi hoặc chặn lại. Còn đối có các nhà cung cấp và những port cần thiết cũng nên hạn chế bất kì khi nào với thể. Điều này có thể bao gồm whitelist hoặc truy nã cập bên ngoài bị cấm tới những bảng quản lý và ko sử dụng các thông tin đăng nhập mặc định.

    - tiêu dùng proxy đảo lại hoặc dịch vụ thay thế, chả hạn như mod_security, nhằm hạn chế các các con phố dẫn URL mang thể truy tìm cập đến các liên hệ chính thống đã được biết trước đó.

    - Thiết lập và sao lưu ngoại tuyến, một phiên bản phải chăng của server mang can dự và chính sách điều hành sự đổi thay thường xuyên, để giám sát các đổi thay đối sở hữu nội dung có một hệ thống chu toàn tệp tin.

    - sử dụng sự xác nhận hợp thức input của user để hạn chế các lỗ hổng trong gói tin cục bộ và các gói tin trong khoảng xa.

    - Thường xuyên thực hành quét lỗ hổng của hệ thống và áp dụng để xác định các khu vực có nguy cơ bị xâm hại. Dù rằng cách này không giúp chống lại được những cuộc tấn công zero day, nhưng nó sẽ giúp làm vượt bậc các khu vực với nguy cơ và cần được để ý.

    - khai triển firewall của những vận dụng web và tiến hành rà soát thường xuyên những chữ ký virus, ứng dụng fuzzing, code review và phân tách mạng máy chủ.

    Phát hiện

    Do sự thuần tuý và tiện lợi sửa đổi của web shell mà chúng ta gặp hơi đa dạng khó khăn trong việc phát hiện ra web shell. VD: các sản phẩm chống vius thỉnh thoảng tạo không phát hiện ra được web shell.

    Sau đây là các dấu hiệu cho biết hệ thống của bạn đã bị nhiễm web shell. Lưu ý: các tín hiệu sau chỉ nhiều đối sở hữu những file chính thống. Bất kỳ tệp tin nào bị nghi ngờ độc hại cũng đều cần được xem xét trong các chỉ số khác và cần được phân cái để đưa ra quyết định chung cuộc rằng, có cần phải tiến hành kiểm tra hoặc xác nhận thêm nữa không.

    - thời khắc bất thường trong việc sử dụng website của quý khách (do những hoạt động upload và download).

    - các tệp với timestamp (dấu thời gian) dị kì.

    - những tệp đáng ngờ ở các vị trí mang thể truy cập Internet (web root).

    - những tệp mang sự liên quan mang những trong khoảng khoá đáng ngờ, như cmd.exe hoặc eval.

    - các kết nối không mong muốn trong log.

    >>> Xem thêm: giá máy chủ dell r740xd
    #1
backtop