今天客户发消息说阿里云安全中心提示 “网站后门-发现后门(Webshell)文件”, 让我看下是真有木马后门,还是误判以及WAF防火墙能不能拦截。
阿里云报了七个文件,还真不少! 经过一番交谈,得知客户用的是一个CMS框架应该不是从官网下载的,于是我下了一个官方版本看一下有没有七个文件。
今天先分享一下第一个案例
先帖代码看下:
代码看起来没什么问题,给大家翻译一下
这个看起来也什么问题,挺正常的代码,那就测试一下吧
这下原形毕露了
System(‘ls -la’); 在php里面是调用系统 shell 执行 ls -la 命令获取当前目录,也就是网站根目录下的文件目录
那么,如果 ls -la命令换成 rm -rf 命令呢?
注意:请不要随便尝试 rm -rf,此命令是删除当前目录,也就是此网站根目录下所有文件。
重点就在这里:
如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行,这是很危险的行为。
想象一下,如果植入者在浏览器执行 你域名?xc99=system(‘rm -rf’); 这是多么恐怖的事情, 简直不敢想象。
webshell脚本注入是属于WAF攻击,所以网站开启WAF防火墙是多么重要的一件事,因为你不知道你从非官方下载的代码里面有没有包含恶意代码。
下面看下我们的WAF防火墙能不能拦截住这个webshell脚本注入攻击
可以看到WAF防火墙日志中已经拦截了webshell脚本注入攻击,保护网站不受WAF攻击的危害。
本次案例分析结束,下面还有六个案例,尽情期待吧~
阿里云报了七个文件,还真不少! 经过一番交谈,得知客户用的是一个CMS框架应该不是从官网下载的,于是我下了一个官方版本看一下有没有七个文件。
今天先分享一下第一个案例
先帖代码看下:
代码看起来没什么问题,给大家翻译一下
这个看起来也什么问题,挺正常的代码,那就测试一下吧
这下原形毕露了
System(‘ls -la’); 在php里面是调用系统 shell 执行 ls -la 命令获取当前目录,也就是网站根目录下的文件目录
那么,如果 ls -la命令换成 rm -rf 命令呢?
注意:请不要随便尝试 rm -rf,此命令是删除当前目录,也就是此网站根目录下所有文件。
重点就在这里:
如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行,这是很危险的行为。
想象一下,如果植入者在浏览器执行 你域名?xc99=system(‘rm -rf’); 这是多么恐怖的事情, 简直不敢想象。
webshell脚本注入是属于WAF攻击,所以网站开启WAF防火墙是多么重要的一件事,因为你不知道你从非官方下载的代码里面有没有包含恶意代码。
下面看下我们的WAF防火墙能不能拦截住这个webshell脚本注入攻击
可以看到WAF防火墙日志中已经拦截了webshell脚本注入攻击,保护网站不受WAF攻击的危害。
本次案例分析结束,下面还有六个案例,尽情期待吧~
这个waf攻击分析的的确很透彻
