错误页面中隐藏webshell的骚思路

SoftNight Web安全 2018年7月31日发布
Favorite收藏

导语:​恶意软件发布者、黑客和钓鱼诈骗犯现在都喜欢把webshell隐藏在虚假HTTP错误页面中。这些页面常常伪装为错误页面,比如404未找到页面或者403禁止页面,然而它们实际上是webshell登录表单页,攻击者能够获得webshell并且在服务器上执行系

恶意软件发布者、黑客和钓鱼诈骗犯现在都喜欢把webshell隐藏在虚假HTTP错误页面中。这些页面常常伪装为错误页面,比如404未找到页面或者403禁止页面,然而它们实际上是webshell登录表单页,攻击者能够获得webshell并且在服务器上执行系统命令。

这种技术并不新鲜,不过钓鱼专家和安全研究员nullcookies发现这种利用虚假错误页面隐藏webshell的做法近来有所增加。攻击者通过webshell能够上传恶意软件、钓鱼脚本或其他软件。

nullcookies说,这种技术很早就有了,但我发现,最近在这种做法越来越频繁,非常明显。如果不是对这种技术有所了解,人们通常都会忽视这种页面。

为了完成这篇文章,nullcookies给我发了一些利用错误页面的例子,乍一看就是一个普通的404页面,404表示页面不存在。

1.jpg

不过,如果我们深入挖掘一下,看看源代码,你可以看到一个非常不同的页面,从源代码可以看到有一个登录表单,不过用css进行了隐藏,而且将登录框放在页面最底部,还删除了页面滚动条,所以你想不到往下滚动,因此也就看不到登录表单。

2.jpg

如果你使用向下翻页键,登录表单很快就暴露出来了。

3.jpg

还有一个例子是使用403禁止页面,跟404页面一样,这个页面也是隐藏了一个登录表单,但是攻击者总是有很多骚思路来隐藏输入表单。

4.jpg

在这个403页面中,攻击者完全隐藏了登录表单,即使你滚动到页面最底部,也看不到登录表单,你需要精确的知道表单的位置并且点击它才能访问表单。

根据nullcookies所说,在虚假错误页面中隐藏webshell给系统管理员带来了一种特殊的危害,系统管理员通常会清理钓鱼安装脚本,但是却没有意识到错误页面中竟然隐藏了webshell,通过这个webshell,攻击者能够轻而易举的再次拿下这个站。

nullcookies说,某些公司的员工通常会忽视这些错误页面,因为他们一开始根本想不到要在这里删除写东西。为什么这种钓鱼事件总是反复不断的出现,即使网站管理员已经清理了钓鱼脚本并且尝试锁定一切文件,其中一个原因就是它的隐蔽性。

既然如此的话,假如你的网站遭到入侵,你进行排查并追踪溯源时,千万不要理所当然的以为错误页面是合法的,一定要深入检查源代码。

本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-hiding-web-shell-logins-in-fake-http-error-pages/如若转载,请注明原文地址: http://www.4hou.com/web/12813.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论