ECSC课堂 | 应急响应之如何快速定位Webshell文件？

WebShell是以Asp、Php、Jsp或Cgi等网页文件的形式存在的一种命令执行环境，也可以将其称作为一种网页后门。黑客在入侵了一个网站后，通常会将后门文件与网站服务器Web目录下正常的网页文件混在一起，然后就可以使用特定工具来访问Webshell后门，获得命令执行环境，达到控制网站服务器的目的。

当服务器被植入Webshell时，如何快速进行应急响应？其中最主要的步骤是找到隐藏的Webshell文件，下面将介绍常用快速定位Webshell文件的方法。

1

通过URL信息获取

如果能获取到恶意请求的URL信息，就可以根据URL信息定位到Webshell文件。URL信息可以通过态势感知、WAF等监测预警系统获取，也可以通过对系统异常时间段的Web日志进行审计获取。

2

通过扫描工具扫描获取

通过Webshell查杀工具进行扫描，可以定位到部分免杀能力不强的Webshell文件。例如：D盾、河马等工具。

3

根据文件创建/修改时间获取

可以重点排查事发过程中被创建或修改的文件，对这些文件进行锁定并查看文件属性。例如：Windows文件的时间属性，选择一个文件右键“属性”即可查看文件的时间属性，可以看到有“创建时间”、“修改时间”和“访问时间”三个属性：

- 创建时间：该文件在本载体本地址上创建的时间。

- 修改时间：在属性中保存的最后一次修改的时间。

- 访问时间：在属性中保存的最后一次访问的时间。

通过文件夹查看最近创建、修改的文件。

默认情况下，仅显示“修改日期”时间戳。当需要添加其他时间戳时，右键单击列标题上的任意位置，然后选择“更多”选项。

通过Windows Search查看最近创建和修改的文件。

除了指定“修改日期”（datemodified）外，还可以指定“创建日期”（datecreated）、“访问日期”（dateaccessed）。默认情况下，Windows将仅在索引位置中查找最近修改的文件。包括非索引位置，单击“搜索工具”中的“高级选项”，然后选中“系统文件”。

除上述定位Webshell文件的方法，更多定位方法可在美亚柏科企业网络安全能力培训（ECSC）课程中进行学习。

美亚柏科

企业网络安全能力（ECSC）培训

该培训主要面向企业或信息化部门负责人、网络安全工程师、企业网络安全攻防赛参赛队伍。课程包括政策解读、攻防技术、赛事技巧三大板块。

通过培训有助于提高企业对网络安全的认识，强化对网络安全基本要求的理解，提升网络安全工程师的安全防护能力，促进企业在网络安全领域的合规性建设和日常安全管理。

如您想详细了解

美亚柏科

企业网络安全能力（ECSC）培训

欢迎电话咨询15859296631

（章老师 / 微信同号）

供稿：ECSC课题专家组