İçerik
Çoğu web kabukları, çoğu web sunucusu tarafından desteklendiği bilinen popüler betik dillerinde yazılmıştır, bu PHP, Python, Ruby, Perl, ASP ve Unix Shell Script olabilir. Content Management Systems ve diğer web sunucusu yazılımı, kabuk komut dosyasının yüklenmesine yol açabilecek güvenlik açıklarını belirlemek için ağ keşif aracı kullanılarak taranır.
Kabuk, kodlayıcının seçtiği herhangi bir dosyayı oluşturma, düzenleme, silme veya indirme yeteneği verir, içeri sızanlar için listenin en üstünde, sunucuya kök erişimi sağlamak için bir web kabuğu kullanılır. Ayrıca web ve sistem yöneticilerinin, kullanıcıların oluşturulması, günlüklerin okunması gibi rutin görevleri gerçekleştirmek için kullandığını da belirtmek önemlidir.
Web kabuklarının mağdurlar sistemi üzerinde çalışmak için ek programlara ihtiyaç duymadığı bilinmektedir çünkü iletişim tarayıcılarda yalnızca HTTP üzerinden gerçekleşir. Web kabuklarının yüklenmesi genellikle belge / dosya yükleme sayfaları aracılığıyla gerçekleştirilir ve ardından web sayfasını uygulama sayfalarından birine dahil etmek için bir Yerel Dosya İçeriği (LFI) zayıflığı kullanılır. Web kabuklarının yüklendiği diğer formlar, Siteler arası komut dosyası çalıştırma (XSS) ve Exposed Admin Interface’i içerir.
Web Kabukları nasıl tespit edilir?
1-)Dosya değişikliklerinin tespit edilmesi
Sistem üzerinde tespit ettiğiniz anormallikleri çözmek için anında işleme geçip sunucu üzerinde son değiştirilen dosyaları kontrol etmeniz gerekir. Bu bize direk Shell’in yolunu verebilir.
find . -type f -name '*.php' -mtime -7
2-)Dosya içerisinde uzak kaynak kontrolü
Kimi zaman sitenizde bir takım alanlar değiştirilmiş olabilir. Bunlar genellikle yönlendirme kodları veya dışarıdan getirilmiş içerikler olabilir.
find . -type f -name '*.php' | xargs egrep -i "preg_replace *\((['|\"])(.).*\2[a-z]*e[^\1]*\1 *," --color
3-)Orijinal Dosyalar ile Mevcut Dosyaların Kontrolü
WordPress, Drupal, Magento vb hazır sistemler kullanıyorsanız. diff komutu aracılığı ile sisteminizde dosyalarını kontrol edebilirsiniz.
diff -r wordpress/ /var/www/sites/ -x wp-content
4-) .htaccess Kontrolü
Kimi zaman saldırganlar web sitenizde bulunan dosyalara ekleme yaparak kancalama atakları yapabilir. Bu gibi durumlarda mevcut dosyalarınızın başına yada sonuna kötü amaçlı yazılım kodları eklenebilir.
find . -type f -name '\.htaccess' | xargs grep -i auto_prepend_file find . -type f -name '\.htaccess' | xargs grep -i auto_append_file