什么是后门

后门是一种恶意软件类型 ，它会阻止访问系统的正常身份验证过程。因此，远程访问权限被授予对应用程序内的资源（例如数据库和文件服务器），使犯罪者能够远程发出系统命令和更新恶意软件。

后门安装是通过利用Web 应用程序中的易受攻击的组件来实现的。一旦安装，检测就很困难，因为文件往往高度混淆。

网络服务器后门用于许多恶意活动，包括：

• 数据盗窃
• 网站污损
• 服务器劫持
• 发起 分布式拒绝服务 (DDoS) 攻击
• 感染网站访问者（水坑攻击）
• 高级持续威胁 (APT) 攻击

后门木马安装

最流行的后门安装方法涉及 远程文件包含 (RFI)，这是一种利用动态引用外部脚本的应用程序中的漏洞的攻击媒介。在 RFI 场景中，引用函数会被欺骗从远程主机下载后门木马。

具有命令执行功能的后门仪表板示例。

犯罪者通常使用扫描仪来识别目标，扫描仪会找到具有未修补或过时组件的网站，这些组件可启用文件注入。成功的扫描程序会利用该漏洞在底层服务器上安装后门。安装后，即使启用其注入的漏洞已被修补，也可以随时访问它。

后门木马注入通常分两步完成，以绕过防止上传超过一定大小的文件的安全规则。第一阶段涉及安装 dropper——一个小文件，其唯一功能是从远程位置检索更大的文件。它启动第二阶段——在服务器上下载并安装后门脚本。

后门脱壳的挑战

一旦安装，后门就很难清除。传统上，检测涉及使用软件扫描仪在服务器文件系统中搜索已知的恶意软件签名。然而，这个过程很容易出错。后门 shell 文件几乎总是通过使用别名和（更重要的是）代码混淆（有时甚至 多层加密）来掩盖。

由于许多应用程序是基于使用第三方插件的外部框架构建的，因此检测变得更加复杂；这些有时充满漏洞或内置后门。依赖启发式和基于签名的规则的扫描程序可能无法检测此类框架中的隐藏代码。

即使检测到后门，典型的缓解方法（甚至重新安装系统）也不太可能将其从应用程序中删除。对于持久存在于可重写内存中的后门来说尤其如此。

使用LvBug减轻后门 shell 攻击

在LvBug，我们使用多种方法来防止后门安装，以及检测和隔离现有的后门 shell。

一方面，LvBug云 Web应用程序防火墙 (WAF) 使用默认和用户定义的安全规则的组合来防止 RFI 攻击损害您的应用程序。WAF 作为安全代理部署在网络边缘，确保恶意请求在与您的应用程序交互之前被阻止。因此，从您使用我们的服务那一刻起，您的网站就受到保护。

如果您的网络服务器在加入之前就已受到损害，LvBug后门保护解决方案 可让您检测并删除文件系统中的 shell。

该解决方案采用了拦截恶意 shell 的连接请求的新颖方法，这是扫描服务器后门文件的更好替代方案。与容易隐藏的后门文件不同，连接请求不能被混淆以隐藏其恶意意图。

通过追踪此类通信尝试，LvBug云服务可以识别任何后门 shell，即使其源代码经过加密以避免扫描。