อ่าน 4 นาที
เว็บเชลล์
เว็บ เชลล์ เป็น อินเทอร์เฟซคล้ายเชลล์ ที่อำนวยความสะดวกในการเข้าถึง เว็บเซิร์ฟเวอร์ จากระยะไกล ซึ่งมักถูกใช้เพื่อ การโจมตีทางไซเบอร์ [ 1 ] แตก ต่างจากเชลล์แบบดั้งเดิม...
เว็บเชลล์
เว็บเชลล์เป็นอินเทอร์เฟซคล้ายเชลล์ที่อำนวยความสะดวกในการเข้าถึงเว็บเซิร์ฟเวอร์ จากระยะไกล ซึ่งมักถูกใช้เพื่อการโจมตีทางไซเบอร์ [ 1 ] แตกต่างจากเชลล์แบบดั้งเดิม เว็บเชลล์สามารถเข้าถึงได้ผ่านเว็บเบราว์เซอร์ทำให้เป็นเครื่องมืออเนกประสงค์สำหรับกิจกรรมที่เป็นอันตราย[ 2 ] [ 3 ]
เว็บเชลล์สามารถเขียนโค้ดได้ด้วยภาษาโปรแกรม ใดก็ได้ ที่เซิร์ฟเวอร์รองรับ โดยPHPเป็นภาษาที่แพร่หลายที่สุดเนื่องจากมีการใช้งานอย่างกว้างขวางในเว็บแอปพลิ เคชัน ภาษาอื่นๆ เช่นActive Server Pages , ASP.NET , Python , Perl , Rubyและสคริปต์เชลล์ Unix ก็มีการใช้งานเช่นกัน [ 1 ] [ 2 ] [ 3 ]
ผู้โจมตีระบุช่องโหว่ในแอปพลิเคชันเว็บเซิร์ฟเวอร์โดยใช้เครื่องมือตรวจสอบเครือข่ายซึ่งสามารถใช้ประโยชน์เพื่อติดตั้งเว็บเชลล์ได้[ 2 ]
เมื่อติดตั้งแล้ว เว็บเชลล์จะอนุญาตให้ผู้โจมตีสามารถเรียกใช้คำสั่งเชลล์ ดำเนินการยกระดับสิทธิ์และจัดการไฟล์โดยการอัปโหลด ลบ ดาวน์โหลด หรือเรียกใช้ไฟล์บนเซิร์ฟเวอร์ได้[ 2 ]
การใช้งานทั่วไป
เว็บเชลล์เป็นที่นิยมในการโจมตีทางไซเบอร์เนื่องจากมีความหลากหลายและหลบเลี่ยงได้ยาก[ 4 ]แอปพลิเคชันทั่วไปได้แก่:
- การขโมยข้อมูล[ 4 ]
- แพร่เชื้อให้กับผู้มาเยือนผ่านการโจมตีแหล่งน้ำ[ 5 ]
- การทำลายเว็บไซต์โดยการแก้ไขไฟล์ด้วยเจตนาร้าย
- การโจมตีDDoS [ 2 ]
- การส่งต่อคำสั่งไปยังส่วนเครือข่ายที่ไม่สามารถเข้าถึงได้[ 2 ]
- ทำหน้าที่เป็น ศูนย์กลาง คำสั่งและควบคุมเช่น ใน ระบบ บอทเน็ตหรือเพื่อบุกรุกเครือข่ายภายนอก[ 2 ]
เว็บเชลล์ช่วยให้แฮกเกอร์สามารถดึงข้อมูล ทำลายระบบ และติดตั้งมัลแวร์ ที่สร้างความเสียหายมากขึ้น ภัยคุกคามจะทวีความรุนแรงขึ้นเมื่อเซิร์ฟเวอร์ที่ถูกบุกรุกถูกนำไปใช้เพื่อแทรกซึมเข้าไปในระบบอื่นๆ นอกจากนี้ยังมีการนำไปใช้ในการจารกรรมทางไซเบอร์โดยมุ่งเป้าไปที่ภาคส่วนต่างๆ เช่น รัฐบาล การเงิน และการป้องกันประเทศ ตัวอย่างที่โดดเด่นคือเว็บเชลล์ " China Chopper " [ 6 ]
การส่งมอบเว็บเชลล์
เว็บเชลล์ถูกใช้งานโดยการใช้ประโยชน์จากช่องโหว่ในเว็บแอปพลิเคชันหรือการกำหนดค่าเซิร์ฟเวอร์ที่อ่อนแอ ซึ่งรวมถึง: [ 2 ] [ 4 ]
- การโจมตีแบบ SQL injection
- ข้อบกพร่องในแอปพลิเคชันและบริการ (เช่นซอฟต์แวร์เว็บเซิร์ฟเวอร์ เช่น NGINXหรือระบบจัดการเนื้อหาเช่นWordPress ) [ 7 ] [ 8 ]
- ช่องโหว่ในการประมวลผลไฟล์และการอัปโหลด (บรรเทาได้ด้วยการจำกัดประเภทไฟล์) [ 8 ]
- ช่องโหว่ การแทรกไฟล์จากระยะไกล (RFI) และการแทรกไฟล์ในเครื่อง (LFI)
- การเรียกใช้โค้ดจากระยะไกล
- อินเทอร์เฟซการบริหารที่เปิดเผย[ 2 ]
ผู้โจมตีอาจปลอมแปลงส่วนContent-Typeหัวระหว่างการอัปโหลดไฟล์เพื่อหลีกเลี่ยงการตรวจสอบไฟล์ที่อ่อนแอ ทำให้สามารถเข้าถึงระบบลับได้
ตัวอย่าง
ต่อไปนี้คือเว็บเชลล์ PHP พื้นฐานที่ใช้เรียกใช้คำสั่งเชลล์และแสดงผลลัพธ์:
<?= `$_GET[x]` ?>หากชื่อไฟล์เป็นexample.phpคำสั่งในการแสดง/etc/passwdไฟล์อาจเป็นดังนี้:
https://example.com/example.php?x=cat%20%2Fetc%2Fpasswd
การดำเนินการนี้จะเรียกใช้คำสั่งcat /etc/passwdความเสี่ยงดังกล่าวสามารถลดลงได้โดยการปิดใช้งานฟังก์ชันเชลล์ของ PHP เพื่อป้องกันการเรียกใช้คำสั่งโดยพลการ
การป้องกันและการบรรเทาผลกระทบ
การป้องกันการติดตั้งเว็บเชลล์จำเป็นต้องแก้ไขช่องโหว่ของเซิร์ฟเวอร์ มาตรการสำคัญได้แก่: [ 2 ] [ 3 ]
- อัปเดตแอปพลิเคชันและ ระบบปฏิบัติการของเซิร์ฟเวอร์อย่างสม่ำเสมอเพื่อแก้ไขข้อบกพร่อง ที่พบ
- การนำระบบเขตปลอดทหาร (DMZ) มาใช้เพื่อกั้นระหว่างเซิร์ฟเวอร์ที่ให้บริการบนเว็บและเครือข่ายภายใน
- การรักษาความปลอดภัยการกำหนดค่าเว็บเซิร์ฟเวอร์[ 2 ]
- การปิดพอร์ตและบริการ ที่ไม่ได้ใช้งาน [ 2 ]
- ตรวจสอบความถูกต้องของข้อมูลที่ผู้ใช้ป้อนเพื่อจำกัดช่องโหว่การรวมไฟล์ในพื้นที่และระยะไกล[ 2 ]
- การใช้พร็อกซีแบบย้อนกลับเพื่อจำกัด URL การดูแลระบบให้เฉพาะแหล่งที่มาที่ถูกต้อง[ 2 ]
- ดำเนินการสแกนช่องโหว่บ่อยครั้ง (แม้ว่าจะไม่มีประสิทธิภาพต่อการโจมตีแบบ Zero-day ก็ตาม ) [ 2 ]
- การติดตั้งไฟร์วอลล์[ 2 ]
- ปิดใช้งานการเรียกดูไดเร็กทอรี
- หลีกเลี่ยงรหัสผ่านเริ่มต้น[ 2 ]
การตรวจจับ
เว็บเชลล์ตรวจจับได้ยากเนื่องจากสามารถปรับเปลี่ยนได้ มักจะหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัส[ 2 ] [ 9 ]
ตัวบ่งชี้ของเว็บเชลล์ ได้แก่: [ 2 ] [ 3 ]
- กิจกรรมเว็บเซิร์ฟเวอร์ที่สูงผิดปกติจากการดาวน์โหลด/อัปโหลด[ 2 ] [ 9 ]
- ไฟล์ที่มีการประทับเวลาผิดปกติ (เช่น ใหม่กว่าการแก้ไขครั้งล่าสุด) [ 9 ]
- ไฟล์ที่ไม่รู้จักบนเซิร์ฟเวอร์
- การอ้างอิงที่น่าสงสัย (เช่น
cmd.exeหรือeval) - การเชื่อมต่อที่ผิดปกติในบันทึกเซิร์ฟเวอร์
ตัวอย่างเช่น ไฟล์ PNGที่มี พารามิเตอร์ POSTหรือการเข้าสู่ระบบที่น่าสงสัยระหว่างเซิร์ฟเวอร์ DMZ และซับเน็ตภายในอาจบ่งชี้ถึงเว็บเชลล์[ 2 ] [ 10 ] [ 11 ] [ 12 ]
เว็บเชลล์อาจมีแบบฟอร์มล็อกอินที่ปลอมแปลง เช่นหน้าแสดงข้อผิดพลาดปลอม[ 2 ] [ 13 ] [ 14 ] [ 15 ]
ผู้โจมตีสามารถแก้ไข ไฟล์ .htaccess (บนApache HTTP Server ) เพื่อเปลี่ยนเส้นทาง การค้นหา ของเครื่องมือค้นหาไปยังมัลแวร์หรือ หน้า เว็บสแปมโดยมักจะปรับแต่งเนื้อหาตาม การตรวจจับ user-agentการระบุเชลล์อาจต้องเปลี่ยน user-agent ของครอว์เลอร์ หลังจากนั้นก็สามารถลบออกได้อย่างง่ายดาย[ 2 ]
การวิเคราะห์บันทึกเซิร์ฟเวอร์สามารถระบุตำแหน่งของเว็บเชลล์ได้ เนื่องจากผู้ใช้ที่ถูกต้องมักจะมีเอเจนต์ผู้ใช้และผู้อ้างอิง ที่หลากหลาย ในขณะที่การเข้าถึงของผู้โจมตีมีความสม่ำเสมอมากกว่า[ 2 ]
ดูเพิ่มเติม
สรุปเนื้อหา
ข้อมูลสำคัญจากบทความ
ข้อมูลสำคัญเกี่ยวกับ เว็บเชลล์
เว็บ เชลล์ เป็น อินเทอร์เฟซคล้ายเชลล์ ที่อำนวยความสะดวกในการเข้าถึง เว็บเซิร์ฟเวอร์ จากระยะไกล ซึ่งมักถูกใช้เพื่อ การโจมตีทางไซเบอร์ [ 1 ] แตก ต่างจากเชลล์แบบดั้งเดิม...
การใช้งานทั่วไป
เว็บเชลล์เป็นที่นิยมในการโจมตีทางไซเบอร์เนื่องจากมีความหลากหลายและหลบเลี่ยงได้ยาก [ 4 ] แอปพลิเคชันทั่วไปได้แก่:
การส่งมอบเว็บเชลล์
เว็บเชลล์ถูกใช้งานโดยการใช้ประโยชน์จากช่องโหว่ในเว็บแอปพลิเคชันหรือการกำหนดค่าเซิร์ฟเวอร์ที่อ่อนแอ ซึ่งรวมถึง: [ 2 ] [ 4 ]
ตัวอย่าง
ต่อไปนี้คือเว็บเชลล์ PHP พื้นฐานที่ใช้เรียกใช้คำสั่งเชลล์และแสดงผลลัพธ์: