2021年1月到2月,有黑客组织使用Microsoft Exchange邮件 服务器 软件中的0day漏洞利用链(ProxyLogon)来访问电子邮件账户,并在服务器放置WebShell进行远程权限管理。
在漏洞和补丁发布后,其他黑客组织也于3月初开始效仿,纷纷针对Exchange服务器进行攻击。
尽管许多受感染的系统所有者成功地从数千台计算机中删除了WebShell,但还是有数百个台服务器上运行着WebShell。
因此美国司法部在2021年4月13日宣布了一项法院授权的行动,该行动将授权FBI从美国数百台用于提供企业级电子邮件服务的Microsoft Exchange服务器中,先收集大量被攻陷的服务器,再将这些服务器上的WebShell进行拷贝,然后再删除服务器上的恶意WebShell。
2021年3月2日,Microsoft宣布一个黑客组织使用多个零日漏洞来定位运行Microsoft Exchange Server软件的计算机。其他各种黑客组织也利用这些漏洞在数千台受害计算机(包括位于美国的受灾计算机)上安装了Web Shell。由于FBI需要删除的WebShell每个都有唯一的文件路径和名称,因此与其他通用WebShell相比,检测和清除它们可能更具挑战性。至于如何进行清除,想必懂得都懂,毕竟存在WebShell的服务器基本没有修补最新的漏洞补丁,因此……
FBI试图向所有删除了黑客组织Webshell的计算机的所有者或运营商提供法院授权操作的通知。对于那些拥有公开联系信息的受害者,联邦调查局将从官方FBI电子邮件帐户(@ FBI.gov)发送电子邮件,以通知受害人。对于那些无法公开获得联系信息的受害者,FBI将从同一FBI电子邮件帐户向被认为拥有联系信息的提供商(例如受害者的ISP)发送一封电子邮件,并要求他们提供通知受害者。
而在4月13日的FBI清除WebShell行动中,删除了一个早期黑客组织的Web Shell,FBI通过Web Shell向服务器发出命令进行了删除,目的是让服务器仅删除Web Shell(由其唯一的文件路径标识)。
如下图所示,执行命令(该操作不代表其他WebShell的操作,仅仅针对一个服务器)
del /f “C:\inetpub\wwwroot\aspnet_client\system_web\xxx.aspx.
此外近期外媒爆料指出,FBI在2016年曾雇佣公司去解锁一个枪手的iphone手机,当时苹果公司拒不配合解锁。该公司是澳大利亚国防承包商Azimuth Security,Azimuth为美国、加拿大和英国政府生产黑客工具,并向FBI提供了一系列的IOS漏洞利用(Condor)从而解锁iPhone。如今为L3Harris Technologies旗下,L3Harris于2018年4月收购了Azimuth和Linchpin Labs。
而Linchpin Labs会向FBI,澳大利亚的情报服务以及英国和加拿大提供漏洞利用。而FBI曾经从Azimuth获得了针对Tor浏览器的攻击。
可以看出,不愧是FBI。
如何删除特殊文件名木马?
木马病毒的特点是隐蔽,一旦暴露了,那么用杀毒软件查杀一下就OK了,即使是某些比较顽固的木马病毒,最多也只要进入安全模式进行查杀即可。 但是有一类木马病毒却不同,它们不仅具有木马病毒的隐藏特点,同时还极难清除。 为什么会这样呢,难道它们用了某些高深的技术?非也,这些木马病毒只是利用了Windows的一些“漏洞”,建立了一个特殊文件名的程序或文件夹,而在Windows中,我们是无法对其进行删除操作的。 那么怎样才能将这些特殊文件名木马病毒清除干净呢?请看本文。 当然,有一些特殊的方法可以投机取巧,建立以这些设备名命名的文件夹。 比如我们在“命令提示符”中执行“md C:aux\”命令,就可以在C盘建了一个名叫aux的文件夹。 这个aux文件夹虽然可以访问,也可以建立子文件夹,但却无法删除,因为Windows不允许以这种方式删除设备。 可见,木马病毒是利用了Windows的漏洞欺骗了系统,创建出特殊文件名文件。 而杀毒软件作为Windows上的应用软件,也是遵循Windows的文件/文件夹命名规则的,这样就导致木马病毒可以长久驻留系统,即使杀毒软件发现了也无济于事。 在Windows中无法创建aux文件夹那么黑客是如何将木马制作成特殊文件的呢?在了解了建立特殊文件夹的原理后,这就非常简单了。 在“命令提示符”中输入命令:copy \.D:\并回车,这样就将拷贝为了D盘的文件,一个杀毒软件无法删除的特殊木马病毒就诞生了。 在DOS中创建特殊文件夹事实上,用“系统保留字构建特殊文件夹防查杀”这招经常被黑客用于入侵网站服务器上。 通常情况下,黑客入侵网站后,会在网站文件夹中通过“命令提示符”创建这样一个特殊文件名的webshell,例如“copy \.D:\“,并且通过命令为其加上“系统”和“隐藏”权限(在Windows中无法设置其属性)。 这样的Webshell在服务器中是十分危险的,是网站站长的头号公敌。 知道了这种木马病的原理,我们清除起来就比较简单了,这里介绍两种方法:1、找到木马病毒所处位置后,在“命令提示符”中输入如下命令:“del \.C: emp\”,其中“C: emp\”为木马文件所在路径,回车后即可将木马文件删除。 2、新建一个记事本文档,输入:del /f /a /q \?\%1rd /s /q \?\%1特殊文件夹无法在Windows中删除保存后把文件的后缀名改为,然后把不能删除的文件或者文件夹拖到bat文件上就可以了。
WEBSHELL是什么 ?
webshell是什么? 顾名思义,web - 显然需要服务器开放web服务,shell - 取得对服务器某种程度上操作权限。 webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现,也有人称之为网站后门工具。 2、webshell有什么作用? 一方面,webshell被站长常常用于网站管理、服务器管理等等,根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。 另一方面,被入侵者利用,从而达到控制网站服务器的目的。 这些网页脚本常称为WEB 脚本木马,目前比较流行的asp或php木马,也有基于的脚本木马。 对于后者我本人是反对的,毕竟人要厚道。 3、webshell的隐蔽性 有些恶意网页脚本可以嵌套在正常网页中运行,且不容易被查杀。 webshell可以穿越服务器防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。 并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。 4、如何防范恶意后门? 从根本上解决动态网页脚本的安全问题,要做到防注入、防暴库、防CookieS欺骗、防跨站攻击等等,务必配置好服务器FSO权限。 希望看过本词条的人,发表一下你是如何防范恶意WEBSHELL后门的。
提取webshell后怎么办

提权,传CMD,再传个2003系统开3389的小程序(别告诉我那台服务器是xp,XP服务器没利用价值)用CMD命令远程运行3389小工具,对方3389就开了,还有个方法利用FTP入侵,自己在本机生成个FTP,后把生产的配置文件上传到他服务器FTP客户端目录覆盖,后用在本机生成的管理员帐号/密码登陆服务器FTP,传木马上去,CMD连接FTP 运行木马说的不够详细,自己慢慢捉摸
发表评论