Webshell là gì?
WebShell là 1 dạng mã độc, backdoor sở hữu nhiều các chức năng, giúp hỗ trợ cho quá trình xâm nhập và chiếm lấy quyền quản lý hệ thống các website của các hacker.
Webshell có thể được viết bằng nhiều ngôn ngữ lập trình khác nhau, thường là sử dụng chính ngôn ngữ mà website server đích hoặc ngôn ngữ mà nó hỗ trợ. Các ngôn ngữ được viết phổ biến có thể kể đến là: PHP, ASP, Perl, Ruby, Python và Unix shell script…
Mã độc Webshell có thể được upload lên website server sau đó điều khiển và quản lý web đó từ xa. Các web đích khi có thể bị nhiễm độc từ mạng Internet hoặc từ hệ thống mạng nội bộ vì đây là những con đường hay được các webshell sử dụng để thâm nhập sâu hơn vào các máy chủ (host).
Chức năng của Webshell
Chức năng cơ bản của Webshell là tải tập tin lên máy chủ, tiến hành kết nối với cơ sở dữ liệu, sau đó vượt qua các lớp bảo mật, cấu hình, tấn công bruteforce, Get Root, Local Attack…
Một khi mà hacker có thể tải thành công các tập tin webshell này lên thì hệ thống quản lý của website coi như là đã thuộc về hacker, chiếm lấy toàn quyền quản lý, không cần biết tài khoản hay mật khẩu của máy chủ là gì.
Cách hoạt động của Webshell
- Từ việc sử dụng các công cụ thăm dò mạng, từ đó kẻ xấu hay hacker xác định được các lỗ hổng trong hệ thống mà có thể tấn công vào, kể cả khi website của bạn đã mua SSL, sau đó tiến hành cài đặt các mã độc Webshell. Ví dụ: Những lỗ hổng dễ, lỏng lẻo tồn tại trong hệ thống quản lý nội dung CMS hay các ứng dụng phần mềm trong web server.
- Khi tải lên thành công, các mã độc này sử dụng các kỹ thuật các kỹ thuật khai thác, nâng cao cấp độ độc quyền và điều khiển từ xa. Những lệnh này liên quan trực tiếp đến cấp độ truy cập vào hệ thống website, chức năng có sẵn, và chúng có cả khả năng thực hiện các thao tác như: sửa, thêm, xóa, chạy các shell commands, các thực thi files, scripts,…
Cách thức tải và sử dụng Webshell?
Những đối tượng thực hiện tấn công tải lên mã độc phổ biến thông qua các lỗ hổng của website như:
- Lỗi Cross-site Scripting – XSS: về cơ bản thì hacker sẽ chèn mã độc thông qua các đoạn script để thực thi chúng ở phía Client – khách hàng, chúng được sử dụng để giúp vượt truy cập, mạo danh người dùng (dễ bị tấn công và phổ biến nhất nhưng đồng thời cũng nguy hiểm nhất).
- Lỗi SQL injection: chèn các mã độc SQL query/command vào input trước khi tiến hành chuyển qua ứng dụng web xử lý, sau đó có thể login mà không cần đến user, password.
- Lỗ hổng của các ứng dụng/dịch vụ như WordPress, CMS,…
- Lỗ hổng xử lý tệp như quyền được chỉ định hay lọc tải lên,…
- Lỗ hổng Remote File Include (RFI) và Local File Include (LFI)
- Thông tin admin bị lộ (có thể là các khu vực có thể tìm thấy các lỗ hổng được đề cập ở trên).
Mục đích sử dụng Webshell
Sử dụng mã độc hiển nhiên là phục vụ cho mục đích không tốt, vậy thì những hậu quả khi web của bạn tấn công sẽ như thế nào, tổn thất những gì sẽ được giải đáp ngay dưới đây.
- Thực hiện thu thập và lọc dữ liệu nhạy cảm, tổng hợp các thông tin quan trọng.
- Mang theo những phần mềm độc hại khác tấc công máy của bạn, cụ thể là một lỗ hổng bị tấn công có thể lây lan ra các khu vực, nạn nhân khác.
Để giúp cho website tránh được sự nhòm ngó của các hacker cũng như đảm bảo dữ liệu được truyền đi an toàn thì bạn cần biết certificate authority là gì nếu muốn bảo mật cho website của mình.
- Đóng vai trò như một điểm cho phép đưa ra các lệnh cho hệ thống máy chủ trong mạng mà không cần phải truy cập internet trực tiếp.
- Thực hiện chức năng như một cơ sở hạ tầng điều khiển, quản lý, kiểm soát, giống như bot trong một mạng botnet.
- Mã độc Webshell hay được sử dụng với các cuộc tấn công DoS, tuy nhiên nó hoàn toàn có khả năng hoạt động giống một nền tảng – platform giúp tải lên các công cụ gồm cả DoS.
Webshell là gì? Chắc chắn các bạn đã có được câu trả lời của mình đó, đồng thời Bkhost giới thiệu tới các bạn cả chức năng của Webshell. Hãy nhớ đón đọc thêm các bài viết hấp dẫn khác trên blog của Bkhost nhé!