什么是Web Shells呢？

网络外壳是一种恶意程序，用于在网络攻击期间远程访问Web服务器。它是一种类似外壳的界面，被黑客用来访问那些通过预定义的钓鱼手段被攻破的应用程序。不过，网络外壳本身并不具备攻击整个服务器的能力，因此通常与其他技术结合使用，以在攻击成功后继续实施后续操作。

它可以用任何服务器端编程语言来编写，比如PHP等。如今，Web外壳被越来越多地使用，因为它们很难被追踪，而且可以用于多种目的。

工作/运作

为了访问远程服务器，攻击者需要找到一个合适的地点来部署网络外壳程序。攻击者会寻找系统中可能存在的漏洞，这些漏洞可以作为网络外壳程序的“宿主”，从而将网络外壳程序部署到那些被发现的漏洞所在的位置。

一旦成功部署了网络外壳程序，就可以利用它来发送命令以执行所需的任务。攻击者可以上传、删除、下载以及执行各种文件操作。

Web shell通常被用于以下场景：

• 通过“水坑攻击”方式，利用恶意软件来感染网站用户。所谓“水坑攻击”，是一种计算机攻击手段，攻击者会试图猜测或观察某个组织经常访问的网站，然后感染其中一个或多个网站。
• 通过不当修改文件来破坏品牌形象的行为。
• 分布式拒绝服务攻击（DDoS攻击）。
• 在无法通过互联网访问的网络中传输命令。
• 它充当着一个指挥与控制中心，用于攻击其他外部网络。

Web Shell的各类类型

绑定壳层：“Bind Shell”是一种被安装在目标设备上的外壳程序。它会被绑定到主机上的某个端口，并监听来自该设备的连接请求。黑客可以远程访问这个Web shell，并利用它来在目标主机上执行各种脚本。
 

2. 反向壳：反向外壳也被称为“连接回壳”。黑客需要找到远程命令执行漏洞，并利用该漏洞来传递Web外壳程序。与绑定外壳不同，目标主机会连接到黑客的设备上，从而接收来自黑客的指令。

3. 双反向外壳：双反向外壳是一种特殊形式的反向外壳。目标主机会重新连接到黑客的设备上，而黑客的设备本身已经处于监听状态，等待着来自其他设备的连接请求。不过，在这种情况下，有两条不同的通道分别用于与黑客的设备进行通信。输入和输出数据被分别传输到两条不同的通道中。

黑客们是如何利用网络外壳的？

为了使用网络外壳，攻击者首先需要找到系统中存在的安全漏洞，以便将网络外壳植入其中。这些漏洞通常是通过利用服务器或服务器配置中的漏洞而获得的。这可能包括：

• 应用程序、文件系统以及服务中存在各种漏洞。
• 远程文件包含机制以及本地文件包含机制中存在的安全漏洞。
• 远程代码执行。
• 暴露的行政接口。

一旦成功安装了网络外壳程序，攻击者就可以利用它来在目标主机上远程执行脚本。这样，他们就能访问存储在组织服务器中的敏感信息。

检测/识别

以下信息表明，系统中可能存在网络外壳程序。

• 服务器使用率非常高（这种情况是因为黑客通常会上传和下载大量数据所导致的）
• 文件中的时间戳有误。
• 服务器上存在外部文件。
• 文件名看起来有些可疑。
• 在服务器端的日志中，存在一些未知的连接信息。

预防与缓解措施

为了避免安装网络外壳，可以采取以下预防措施：

• 及时修补网络服务器和插件中的漏洞。其理念是，通过及时修补系统中的漏洞来修复这些安全隐患。这样，黑客可利用的攻击途径就会减少。
• 减少插件的使用：这样做可以降低系统的脆弱性。减少插件的数量，就能减少服务器上潜在的攻击面。
• 文件完整性监控：该系统会持续监控服务器上存储的文件，并删除那些无法被识别的文件。由于Web shell需要存在于Web服务器的代码目录中，因此，删除这些文件会导致Web shell失去其功能。
• 恶意软件扫描/终端保护软件：可以使用恶意软件检测软件来扫描存储的服务器端文件，从而发现其中的恶意软件。不过，这种方法并不可靠，因为Web shell脚本看起来就像是一个正常的脚本而已。
• 从原始来源重新发布该应用程序。在服务器端进行应用程序代码库的彻底检查是不可能的，除非有开发人员的协助。因此，为了发现代码库中的意外文件，需要在将这些文件从开发环境中完全删除之后，再重新发布这些文件。
• 网络分段可以阻止数据在系统之间的横向传输。通过分割网络各个部分，可以避免黑客通过横向渗透的方式访问整个网络。
• 服务器配置审查与加固：通过执行全面的服务器配置检查，能够识别并修复应用程序服务器以及操作系统中的各种漏洞。
• 缓解远程文件包含漏洞和本地文件包含漏洞：在将数据发送之前，先对用户输入的数据进行验证，以防范远程文件包含漏洞和本地文件包含漏洞。
• 部署防火墙：使用专门的防火墙，比如专为防止网络攻击而设计的Web应用防火墙（WAF），来阻止恶意代码被注入到系统中。