US- und australische Behörden geben Tipps zum Aufspüren von Webshells und nennen einige teils recht alte, bei Angreifern aber noch immer beliebte Lücken.
Die National Security Agency (NSA) hat in Zusammenarbeit mit dem australischen Nachrichtendienst Australian Signals Directorate (ASD) ein 17-seitiges „Cyber Security Information Sheet“ veröffentlicht. Es befasst sich mit den – nach Einschätzung der beiden Behörden zunehmenden – Gefahren durch sogenannte Webshells. Skripte oder Programme also, die Angreifer auf schlecht gesicherten Webservern platzieren und die ihnen anschließend den Fernzugriff beziehungsweise das Ausführen von Befehlen auf den kompromittierten Systemen ermöglichen.
Das Dokument steht ab sofort zum Download bereit. Es gibt Admins Tipps und Techniken zum Aufspüren und Entfernen des – häufig gut getarnten und mit wirkungsvollen Persistance-Mechanismen ausgestatteten – Schadcodes an die Hand. Auch nennt es konkrete, meist kostenlose Skripte und Tools, die beim Erkennen von Anomalien helfen. Viele der genannten Hilfsmittel sind Teil eines GitHub-Repositories der NSA, das sich ausschließlich der Webshell-Thematik widmet. Ausführliche Erläuterungen (und Quellcode) inklusive.