WikiDer > Веб-қабық

Web shell
Серияның бір бөлігі
Ақпараттық қауіпсіздік
Байланысты қауіпсіздік санаттары
Қауіп-қатер
Қорғаныс

A веб-қабық зиянкес вебке негізделген қабық- ерікті командалардың орындалуына мүмкіндік беру арқылы веб-серверге қашықтықтан қол жеткізуге және басқаруға мүмкіндік беретін интерфейс.[1] Веб-қабықты a-ға жүктеуге болады веб-сервер қашықтан қол жеткізуге мүмкіндік беру үшін веб-сервер, мысалы, веб-сервер сияқты файлдық жүйе.[2] Веб-қабық ерекше, өйткені ол веб-серверге а-ға қол жеткізуге мүмкіндік береді веб-шолғыш сияқты әрекет етеді командалық интерфейс.[3][4]

Пайдаланушы a қашықтағы компьютер арқылы Дүниежүзілік өрмек пайдалану веб-шолғыш жүйенің кез-келген типінде, жұмыс үстелінің компьютерінде болсын немесе ұялы телефон веб-шолғышпен және қашықтағы жүйеде тапсырмаларды орындаңыз. Хостта да, клиентте де командалық жол ортасы қажет емес.[3][4] Веб-қабық көбінесе а деп саналады қашықтан қол жеткізу трояны.[5]

Веб-қабықты кез-келгенінде бағдарламалауға болады тіл мақсатты сервер қолдайды. Веб-қабықтар көбіне-көп жазылады PHP PHP-ді кеңінен қолдануға байланысты Сервердің белсенді беттері, ASP.NET, Python, Перл, Рубин, және Unix қабығы сценарийлер де қолданылады, бірақ онша кең таралмаған, өйткені веб-серверлер үшін бұл тілдерді қолдау өте кең таралған емес.[2][3][4]

Қолдану желіні бақылау құралдары сияқты Wireshark, шабуылдаушы веб-қабықшаны орнататын осалдықтарды таба алады. Бұл осалдықтар болуы мүмкін мазмұнды басқару жүйесі қосымшалар немесе веб-сервербағдарламалық жасақтама.[3]

Шабуылдаушы команданы шығару, орындау үшін веб-қабықты қолдана алады артықшылықты күшейту веб-серверде және мүмкіндігі жүктеу, жою, жүктеу, және файлдарды орындау веб-серверде.[3]

Жалпы қолдану

Шабуылдарда веб-қабықшалар қолданылады, себебі олар көп мақсатты және табу қиын.[6]

Веб-қабықтар әдетте келесі мақсаттарда қолданылады:

Веб-қабықтарды жеткізу

Веб-қабықтар веб-қосымшаның осалдықтары немесе әлсіз сервер қауіпсіздігі конфигурациясы арқылы орнатылады:[3][6]

Шабуылдаушы өзгерте алады (алдау) Мазмұн түрі шабуылдаушы файлдың дұрыс емес расталуын айналып өту үшін файл жүктеуінде жіберетін тақырып (клиент жіберген MIME түріндегі валидация), бұл шабуылдаушының қабығын сәтті жүктеуге әкеледі.

Көрнекті веб-қабықшалардың мысалдары

Windows 7 Ultimate Edition серверінде жұмыс істейтін b374k қабығы.
WSO веб-қабығындағы жалған қателіктер беті қалай көрінетініне мысал.
  • b374k - жазылған веб-қабықша PHP процестерді бақылау және команданы орындау сияқты қабілеттермен. B374k қабығының соңғы нұсқасы - 3.2.3.[3][10][11][12]
  • C99 - Веб-сервердің қауіпсіздік стандарттарын көрсете алатын және өзін-өзі жою мүмкіндігі бар веб-қабық.[3][13] C99Shell-дің түпнұсқасы жойылған функцияларды қолдануға байланысты PHP 7-де жұмыс істемейді.
  • China Chopper - тек 4-тен тұратын веб-қабық килобайт Бұл алғаш рет 2012 жылы ашылған. Бұл веб-қабықты көбінесе зиянды қытайлық актерлер, соның ішінде пайдаланады дамыған қауіп (APT) топтары, қашықтан қол жеткізу үшін веб-серверлер. Бұл веб-қабықтың екі бөлімі бар, клиенттік интерфейс (an орындалатын файл) және бұзылған веб-сервердегі қабылдаушы хост файлы. Құпия сөз сияқты көптеген командалар мен басқару функциялары бар қатал шабуыл опция.[14][15][16]
  • R57 - R57 веб-қабығында вирус жұқтырылған веб-серверді басқа веб-қабық қондырғыларына сканерлейтін құралдар бар, оларды жою немесе қайта жазу мүмкіндігі бар.[17]
  • WSO (oRb веб-қабығы) - Кіру формасымен парольмен қорғалатын мүмкіндігі бар, кейбір нұсқалары жалған болып көрінуі мүмкін HTTP қате беті.[3][18][19]

Веб-қабықтар кодтың бір жолындай қысқа болуы мүмкін. Келесі мысал PHP сценарий - 15 байт мөлшері бойынша:

<?=$ _GET [x] '?>

Егер шабуылдаушы бұл код жолын PHP файл аты кеңейтімі бар зиянды файлға енгізсе (мысалы .php) үстінде веб-сервер жұмыс істеп тұр PHP, шабуылдаушы командаларды шығара алады, мысалы / etc / passwd файл, веб-шолғыш арқылы келесілерді қолданады Ресурстарды бірыңғай іздеу егер веб-қабықша орналасқан болса жүктеулер / webshell.php:

http://example.com/uploads/webshell.php?x=cat%20%2Fetc%2Fpasswd

Жоғарыда көрсетілген сұраныстың мәні қабылданады х URL параметрі, URL декодты және келесі командалық команданы жіберіңіз:

cat / etc / passwd

Егер рұқсаты / etc / passwd файл файлды қарауға мүмкіндік береді, веб-сервер оның мазмұнын жібереді / etc / passwd дейін веб-шолғыш содан кейін шолғыш ішіндегісін көрсетеді / etc / passwd файл немесе шабуылдаушы көргісі келетін басқа файл.

Егер файл рұқсаттары файлды қарауға мүмкіндік бермесе немесе қабық функциялары PHP PHP-ден ерікті қабықша командаларын орындау мүмкін болмайтындай етіп өшірілді.

Басқа зиянды әрекеттерді веб-қабықпен шабуылдаушылар орындай алады, мысалы, файлдағы мазмұнды ауыстыру веб-сервер. Мысалы, келесі команданы қарастырыңыз:

жаңғырық x> index.php

Мазмұнын ауыстыру үшін жоғарыдағы пәрменді пайдалануға болады index.php «х» мәтіні бар файл, бұл а веб-парақ өзгертілуі мүмкіннемесе жасаңыз index.php егер файл жоқ болса, мазмұны бар файл. Шабуылшылар сонымен қатар Баш команда rm веб-сервердегі файлдарды жою үшін және mv файлдарды жылжыту үшін.

Алдын алу және азайту

Веб-қабық әдетте веб-сервердің бағдарламалық жасақтамасындағы осалдықтарды пайдалану арқылы орнатылады. Сондықтан, осалдықтарды жою, бұзылған веб-сервердің ықтимал қаупін болдырмау үшін маңызды.

Төменде веб-қабықтың орнатылуын болдырмауға арналған қауіпсіздік шаралары келтірілген:[3][4]

Анықтау

Веб-қабықтарды оңай өзгертуге болады, сондықтан веб-қабықшаларды табу оңай емес антивирус бағдарламалық жасақтама көбінесе веб-қабықшаларды анықтай алмайды.[3][20]

Төменде веб-серверде веб-қабықтың бар екендігі туралы жалпы көрсеткіштер келтірілген:[3][4]

  • Веб-серверді әдеттен тыс пайдалану (шабуылдаушының жүктеуі мен жүктеуіне байланысты);[3][20]
  • Аномальды уақыт белгісі бар файлдар (мысалы, соңғы өзгерту күнінен жаңа);[20]
  • Веб-сервердегі белгісіз файлдар;
  • Күдікті сілтемелері бар файлдар, мысалы, cmd.exe немесе бағалау;
  • Веб-сервер журналдарындағы белгісіз қосылыстар

Мысалы, күдікті трафикті тудыратын файл (мысалы, а PNG файл сұрау ПОСТ параметрлер);[3][21][22][23]Күмәнді кірулер DMZ серверлерді ішкі ішкі желілерге және керісінше.[3]

Сондай-ақ, веб-қабықтарда кіру формасы болуы мүмкін, ол көбінесе қате беті.[3][24][25][26]

Веб-қабықтарды қолдану арқылы қарсыластар .htaccess файл (іске қосылған серверлерде Apache HTTP сервері бағдарламалық жасақтама) қайта бағыттау үшін веб-серверлерде іздеу жүйесі сұраныстары веб парақ бірге зиянды бағдарлама немесе спам. Көбінесе веб-қабықшалар анықтайды пайдаланушы-агент және ұсынылған мазмұн өрмекші іздеу жүйесі пайдаланушының шолғышына ұсынылғаннан өзгеше. Веб-қабықты табу үшін a пайдаланушы-агент Әдетте шынжыр табанды өзгерту қажет. Веб-қабық анықталғаннан кейін оны оңай жоюға болады.[3]

Веб-сервердің журналын талдау веб-қабықтың нақты орнын көрсете алады. Әдетте заңды қолданушылар / келушілер әр түрлі болады пайдаланушы-агенттер және сілтемелер (сілтемелер), екінші жағынан, веб-қабыққа әдетте шабуылдаушы кіреді, сондықтан қолданушы-агент жолдарының нұсқалары өте аз.[3]

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ «Веб-қабықтарға кіріспе». www.acunetix.com. Мұрағатталды түпнұсқасынан 2019-03-28. Алынған 2019-03-28.
  2. ^ а б «Қауіпсіздік құралдары мен серверлерді пайдалану үшін веб-қабықшаларды қалай пайдалануға болады?». Қауіпсіздік. Мұрағатталды түпнұсқасынан 2019-03-28. Алынған 2018-12-21.
  3. ^ а б c г. e f ж сағ мен j к л м n o б q р с т сен v w х ж з аа аб ак АҚШ-тың Ұлттық қауіпсіздік министрлігі. «Веб-қабықтар - қауіп-қатер туралы ақпарат және басшылық». www.us-cert.gov. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 20 желтоқсан 2018. Бұл мақалада осы дереккөздегі мәтін енгізілген қоғамдық домен.
  4. ^ а б c г. e әкімші (3 тамыз 2017). «Веб-қабық дегеніміз не?». зиянды бағдарлама.expert. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 20 желтоқсан 2018.
  5. ^ Кілт, П.М .; Irwin, B. V. W. (1 тамыз 2015). «Деобусфация көмегімен ұқсастық талдауын қолданатын PHP веб-торабының таксономиясына қарай». 2015 Оңтүстік Африка үшін ақпараттық қауіпсіздік (ISSA). 1-8 бет. дои:10.1109 / ISSA.2015.7335066. ISBN 978-1-4799-7755-0 - IEEE Xplore арқылы.
  6. ^ а б c «Энергетика және басқа да маңызды инфрақұрылым секторларына бағытталған Ресей үкіметінің киберлік қызметі - US-CERT». www.us-cert.gov. Мұрағатталды түпнұсқадан 2018 жылғы 20 желтоқсанда. Алынған 20 желтоқсан 2018.
  7. ^ бірлескен ұйымдастырушы, Makis MourelatosWordPress қауіпсіздік инженері FixMyWPWC Athens 2016; Қолдау, W. P .; Aficionado, қауіпсіздік; Kitesurfer, Wannabe (16 қазан 2017). «Артқы есік шабуылдары туралы анықтамалық нұсқаулық - WebShell BackDoors дегеніміз не». fixmywp.com. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 20 желтоқсан 2018.
  8. ^ «Сізде WordPress бар ма? PHP C99 веб-сайтына шабуыл көбейіп кетті». 14 сәуір 2016 ж. Мұрағатталды түпнұсқадан 2018 жылғы 29 желтоқсанда. Алынған 21 желтоқсан 2018.
  9. ^ а б «Эквифакстің бұзылуы, егер негізгі қауіпсіздік шараларын қолданған болса,» толығымен алдын-алуға болатын «еді», - делінген үйдің есебінде.. Мұрағатталды түпнұсқадан 2018 жылғы 20 желтоқсанда. Алынған 21 желтоқсан 2018.
  10. ^ «Google Code Archive - Google Code Project Hosting үшін ұзақ мерзімді сақтау орны». code.google.com. Мұрағатталды түпнұсқадан 2019 жылғы 23 қаңтарда. Алынған 22 желтоқсан 2018.
  11. ^ «Веб-тордағы ойын жалғасуда». 8 шілде 2016. Мұрағатталды түпнұсқадан 2018 жылғы 29 желтоқсанда. Алынған 22 желтоқсан 2018.
  12. ^ «GitHub - b374k / b374k: PHP веб-қабаты ыңғайлы мүмкіндіктері бар». Мұрағатталды түпнұсқасынан 2019-05-07. Алынған 2019-04-19.
  13. ^ «Сізде WordPress бар ма? PHP C99 веб-сайтына шабуыл көбейіп кетті». 14 сәуір 2016 ж. Мұрағатталды түпнұсқадан 2018 жылғы 29 желтоқсанда. Алынған 22 желтоқсан 2018.
  14. ^ «China Chopper». NJCCIC. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 22 желтоқсан 2018.
  15. ^ «China Chopper веб-торабы деген не және оны бұзылған жүйеден қалай табуға болады?». 28 наурыз 2018 жыл. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 22 желтоқсан 2018.
  16. ^ «China Chopper веб-қабығын бұзу - I бөлім« China Chopper веб-қабығын бұзу - I бөлім ». FireEye. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 22 желтоқсан 2018.
  17. ^ «Веб-қабықтар: қылмыскердің басқару панелі | Netcraft». news.netcraft.com. Мұрағатталды түпнұсқасынан 2019-01-13. Алынған 2019-02-22.
  18. ^ «WSO Shell: Хак үйдің ішінен шығады!». 22 маусым 2017. Мұрағатталды түпнұсқадан 2019 жылғы 9 қаңтарда. Алынған 22 желтоқсан 2018.
  19. ^ «Веб-қабықтар: қылмыскердің басқару панелі - Netcraft». news.netcraft.com. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 22 желтоқсан 2018.
  20. ^ а б c «China Chopper веб-қабығын бұзу - I бөлім« China Chopper веб-қабығын бұзу - I бөлім ». FireEye. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 20 желтоқсан 2018.
  21. ^ «Интрузияны анықтау және алдын алу жүйелері». Мұрағатталды түпнұсқасынан 2019-01-13. Алынған 2018-12-22.
  22. ^ LightCyber, Kasey Cross, аға өнім менеджері (2016 ж. 16 маусым). «Шабуылдаушының бес белгісі сіздің желіңізде бар». Network World. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 22 желтоқсан 2018.
  23. ^ «Желілік қауіпсіздікті қамтамасыз ету үшін трафикті талдау: желілік ағындардан шығудың екі тәсілі». Мұрағатталды түпнұсқадан 2016-11-14 жж. Алынған 2018-12-22.
  24. ^ «Хакерлер веб-қабықтың кіруін жалған HTTP қателіктер беттерінде жасырған». Ұйқыдағы компьютер. Мұрағатталды түпнұсқадан 2018 жылғы 26 шілдеде. Алынған 21 желтоқсан 2018.
  25. ^ «Хакерлер веб-қабықтың кіруін жасанды HTTP қателіктер беттерінде жасырды». ThreatRavens. 24 шілде 2018. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 17 ақпан 2019.
  26. ^ «Хакерлер веб-қабықтың кіруін жасанды HTTP қателіктер беттерінде жасырды». cyware.com. Мұрағатталды түпнұсқадан 2019 жылғы 13 қаңтарда. Алынған 22 желтоқсан 2018.