{"id":7512,"date":"2019-08-29T07:59:35","date_gmt":"2019-08-29T05:59:35","guid":{"rendered":"https:\/\/it-service.network\/blog\/?p=7512"},"modified":"2019-08-29T07:59:35","modified_gmt":"2019-08-29T05:59:35","slug":"webshell","status":"publish","type":"post","link":"https:\/\/it-service.network\/blog\/2019\/08\/29\/webshell\/","title":{"rendered":"Webshell-Angriffe entdecken & verhindern ## Tipps f\u00fcr Ihre IT-Sicherheit"},"content":{"rendered":"

Schon einmal von Webshell geh\u00f6rt? Nein? Sollten Sie aber. Denn die Bedrohung, die von den massiven Angriffen ausgeht, ist mindestens genau so gro\u00df wie die durch Standard-Malware. Und besonders perfide sind die Attacken auch.<\/strong>
\nWas der Begriff Webshell bedeutet, wie entsprechende Attacken aussehen und Sie selbige erkennen beziehungsweise verhindern k\u00f6nnen, lesen Sie bei uns.
\n

\"webshell

Die Identifikation von Webshells ist schwierig.
\u00a9 Imonk72 \/ Pixabay<\/p><\/div><\/p>\n

Webshell \u2013 Definition & Erkl\u00e4rung<\/h3>\n

Mittels Webshell werden gezielt ausgesuchte Server attackiert, die sowieso in vielen Unternehmen den wunden Punkt der gesamten Infrastruktur darstellen \u2013 besonders dann, wenn eine laufende Betreuung durch einen IT-Sicherheitsexperten fehlt. Um zu verstehen, wie Webshell funktioniert, hier zun\u00e4chst ein wenig Basis-Wissen. Webanwendungen werden in sogenannten Skript-Sprachen wie Python oder PHP entwickelt. Sicherheitsl\u00fccken innerhalb dieser Anwendungen erm\u00f6glichen es, beliebige Codes auszuf\u00fchren.
\nFinden Cyberkriminelle eine entsprechende L\u00fccke, k\u00f6nnen sie sie infizieren und so versuchen, den gesamten Server zu kapern. Das funktioniert, indem sie eine sogenannte Webshell auf dem Webserver installieren. Bei der Webshell handelt es sich um eine virtuelle Kommandozeile<\/strong>. Diese erlaubt es, auf Dateien innerhalb der Anwendung zuzugreifen und Systembefehle auszuf\u00fchren. Kurz gesagt: alle Berechtigungen, die der Webserver hat, hat auch die Webshell. Und genau dieser Umstand macht die Attacken so brandgef\u00e4hrlich. Das zeigt sich beispielsweise im Fall einer als kritisch eingestuften Exchange-Sicherheitsl\u00fccke<\/a>.
\n

\"webshell\"

Cybercrime: Tarnung ist alles.
\u00a9 geralt \/ Pixabay<\/p><\/div><\/p>\n

Schwer zu entdecken<\/h3>\n

Bis vor wenigen Jahren handelte es sich bei Webshells um simple HTML-Formulare. Sie \u00fcbermittelten Befehle an den Webserver, der selbige ausf\u00fchrte. Heute sieht das anders aus. Aus Webshells sind modulare Kits<\/strong> geworden, die in der Regel aus zwei Komponenten bestehen: Der Steuereinheit auf dem Rechner des Hackers und einem encodierten Teil auf dem Server. Die Steuerbefehle sind komplex verschl\u00fcsselt, damit die Steuerung selbst verschleiert vonstatten geht.
\nEs gibt sogar Kits, bei denen nach jedem erfolgreich ausgef\u00fchrten Befehl der gesamte Schadcode wieder neu encodiert und hochgeladen wird. Hier kommen dann auch IDS und WAFs (siehe unten) an ihre Grenzen. Andere Ausf\u00fchrungen lassen sich hingegen schnell erkennen, da sie \u201eprogrammiersprachlich\u201c vom Rest des Codes abweichen. Wie immer handelt es sich aber auch bei dieser Angriffsform um ein Katz-und-Maus-Spiel. Je weiter sich die Methoden der Cyberkriminellen entwickeln, desto besser wird auch entsprechende Sicherheitssoftware.<\/p>\n

Webshells: immer gut getarnt<\/h3>\n

Die Webshell als Meister der Tarnung. Wahlweise in einer bereits existierenden oder eigenen Code-Datei versteckt, wird die gro\u00dfe Bedrohung h\u00e4ufig gar nicht erst entdeckt. Um die Gefahr dahinter zu minimieren, gibt es aber einige Ma\u00dfnahmen, die Betreiber von Seiten und Diensten regelm\u00e4\u00dfig durchf\u00fchren (lassen) sollten:<\/p>\n