Haben Sie eine feindliche Webshell auf Ihrem Server?

Eine Webshell ist eine Kommando-Schnittstelle, die sich ein Angreifer heimlich auf einem Webserver eingerichtet hat. Einmal vorhanden, wird die Webshell dann als bequemer Zugang ins Netzwerk des Opfers ausgenutzt.

Webshells werden meist über Sicherheitslücken eingeschleust; oft sind es alte Lücken auf immer noch ungepatchten Systemen. (Hatten wir schon erwähnt, dass man seine Systeme regelmäßig updaten sollte?) Damit sie nicht sofort wieder gelöscht werden, tarnen Angreifer ihre Webshells.

Und wenn man eine Webshell trotz der Tarnung findet und löscht, kann es gut sein, dass sie kurz darauf wieder auftaucht. „Persistenz“ ist das Stichwort: Angreifer hinterlegen häufig nicht nur eine Webshell auf dem Server, sondern halten sich zusätzliche Hintertürchen offen für den Fall, dass ihr Angriff bemerkt wird. Die Webshell wird dann vielleicht an anderer Stelle, unter anderem Namen und vielleicht auch mit einer im Detail geänderten Zugriffstechnik erneut geöffnet.

Webshells werden genutzt, um Spam zu verschicken, Zugangsdaten zu erbeuten und weiteregehende Angriffe auf interne Unternehmensnetze durchzuführen. Die NSA hält die Bedrohung für so ernst, dass sie zusammen mit dem australischen Geheimdienst ASD einen Leitfaden zu Webshells veröffentlicht hat.

Begleitend dazu stellen die beiden Behörden Abwehr-Werkzeuge gegen Webshells auf GitHub bereit.

Das Dokument enthält Tipps, wie man solchen Angriffen vorbeugt (Prevention), wie man sie aufspürt (Detection), wie man sie abwehrt (Response) und wie man die betroffenen Systeme repariert (Recovery).