錯誤頁面中隱藏webshell的騷思路

惡意軟體發布者、黑客和釣魚詐騙犯現在都喜歡把webshell隱藏在虛假HTTP錯誤頁面中。這些頁面常常偽裝為錯誤頁面，比如404未找到頁面或者403禁止頁面，然而它們實際上是webshell登錄表單頁，攻擊者能夠獲得webshell並且在伺服器上執行系統命令。

這種技術並不新鮮，不過釣魚專家和安全研究員nullcookies發現這種利用虛假錯誤頁面隱藏webshell的做法近來有所增加。攻擊者通過webshell能夠上傳惡意軟體、釣魚腳本或其他軟體。

nullcookies說，這種技術很早就有了，但我發現，最近在這種做法越來越頻繁，非常明顯。如果不是對這種技術有所了解，人們通常都會忽視這種頁面。

為了完成這篇文章，nullcookies給我發了一些利用錯誤頁面的例子，乍一看就是一個普通的404頁面，404表示頁面不存在。

不過，如果我們深入挖掘一下，看看源代碼，你可以看到一個非常不同的頁面，從源代碼可以看到有一個登錄表單，不過用css進行了隱藏，而且將登錄框放在頁面最底部，還刪除了頁面滾動條，所以你想不到往下滾動，因此也就看不到登錄表單。

如果你使用向下翻頁鍵，登錄表單很快就暴露出來了。

還有一個例子是使用403禁止頁面，跟404頁面一樣，這個頁面也是隱藏了一個登錄表單，但是攻擊者總是有很多騷思路來隱藏輸入表單。

在這個403頁面中，攻擊者完全隱藏了登錄表單，即使你滾動到頁面最底部，也看不到登錄表單，你需要精確的知道表單的位置並且點擊它才能訪問表單。

根據nullcookies所說，在虛假錯誤頁面中隱藏webshell給系統管理員帶來了一種特殊的危害，系統管理員通常會清理釣魚安裝腳本，但是卻沒有意識到錯誤頁面中竟然隱藏了webshell，通過這個webshell，攻擊者能夠輕而易舉的再次拿下這個站。

nullcookies說，某些公司的員工通常會忽視這些錯誤頁面，因為他們一開始根本想不到要在這裡刪除寫東西。為什麼這種釣魚事件總是反覆不斷的出現，即使網站管理員已經清理了釣魚腳本並且嘗試鎖定一切文件，其中一個原因就是它的隱蔽性。

既然如此的話，假如你的網站遭到入侵，你進行排查並追蹤溯源時，千萬不要理所當然的以為錯誤頁面是合法的，一定要深入檢查源代碼。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！