バックドアの検出

critical Web App Scanning プラグイン ID 98097

概要

バックドアの検出

説明

スキャナーは、サイバー犯罪者と同じ方法を利用して、リモートの Web サーバーに Web バックドアまたは Web シェルが存在する可能性があると判断できました。サーバーが以前に侵害された場合、サイバー犯罪者は高い確率でバックドアをインストールして、必要に応じてサーバーに簡単に戻ることができます。これを達成する 1 つの方法は、Web サーバーの Web ルート内に Web バックドアまたは Web シェルを配置することです。これにより、サイバー犯罪者は HTTP/S セッションを通じてサーバーにアクセスできるようになります。非常に不適切な慣行ですが、管理者が Web バックドアまたは Web シェルをそこに配置し、リモートで管理アクティビティを実行できるようにしている可能性があります。攻撃の最初の偵察段階で、サイバー犯罪者は、最も一般的でよく知られているものの名前をリクエストして、これらの Web バックドアまたはシェルを特定しようとします。応答を分析することで、Web バックドアまたは Web シェルが存在するかどうかを判断できます。これらの Web バックドアまたは Web シェルは、サーバーをさらに侵害する容易なパスを提供する可能性があります。

ソリューション

手動の確認によって Web バックドアまたは Web シェルがサーバーに存在することが判明した場合は、削除する必要があります。
Web バックドアまたは Web シェルがサーバーにどのように存在するようになったのかを立証するために、サーバーでインシデント対応調査を行うことも推奨されます。
環境によっては、他のサービスまたはサーバーの侵害を調査する必要があります。

参考資料

https://www.blackhat.com/presentations/bh-usa-07/Wysopal_and_Eng/Presentation/bh-usa-07-wysopal_and_eng.pdf

プラグインの詳細

深刻度: Critical

ID: 98097

タイプ: remote

ファミリー: Web Servers

公開日: 2017/3/31

更新日: 2024/2/2

スキャン テンプレート: api, basic, full, pci, scan

リスク情報

VPR

リスクファクター: High

スコア: 8.5

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS スコアのソース: Tenable

参照情報