导语:恶意软件发布者、黑客和钓鱼诈骗犯现在都喜欢把webshell隐藏在虚假HTTP错误页面中。这些页面常常伪装为错误页面,比如404未找到页面或者403禁止页面,然而它们实际上是webshell登录表单页,攻击者能够获得webshell并且在服务器上执行系
恶意软件发布者、黑客和钓鱼诈骗犯现在都喜欢把webshell隐藏在虚假HTTP错误页面中。这些页面常常伪装为错误页面,比如404未找到页面或者403禁止页面,然而它们实际上是webshell登录表单页,攻击者能够获得webshell并且在服务器上执行系统命令。
这种技术并不新鲜,不过钓鱼专家和安全研究员nullcookies发现这种利用虚假错误页面隐藏webshell的做法近来有所增加。攻击者通过webshell能够上传恶意软件、钓鱼脚本或其他软件。
nullcookies说,这种技术很早就有了,但我发现,最近在这种做法越来越频繁,非常明显。如果不是对这种技术有所了解,人们通常都会忽视这种页面。
为了完成这篇文章,nullcookies给我发了一些利用错误页面的例子,乍一看就是一个普通的404页面,404表示页面不存在。
不过,如果我们深入挖掘一下,看看源代码,你可以看到一个非常不同的页面,从源代码可以看到有一个登录表单,不过用css进行了隐藏,而且将登录框放在页面最底部,还删除了页面滚动条,所以你想不到往下滚动,因此也就看不到登录表单。
如果你使用向下翻页键,登录表单很快就暴露出来了。
还有一个例子是使用403禁止页面,跟404页面一样,这个页面也是隐藏了一个登录表单,但是攻击者总是有很多骚思路来隐藏输入表单。
在这个403页面中,攻击者完全隐藏了登录表单,即使你滚动到页面最底部,也看不到登录表单,你需要精确的知道表单的位置并且点击它才能访问表单。
根据nullcookies所说,在虚假错误页面中隐藏webshell给系统管理员带来了一种特殊的危害,系统管理员通常会清理钓鱼安装脚本,但是却没有意识到错误页面中竟然隐藏了webshell,通过这个webshell,攻击者能够轻而易举的再次拿下这个站。
nullcookies说,某些公司的员工通常会忽视这些错误页面,因为他们一开始根本想不到要在这里删除写东西。为什么这种钓鱼事件总是反复不断的出现,即使网站管理员已经清理了钓鱼脚本并且尝试锁定一切文件,其中一个原因就是它的隐蔽性。
既然如此的话,假如你的网站遭到入侵,你进行排查并追踪溯源时,千万不要理所当然的以为错误页面是合法的,一定要深入检查源代码。