Webshell (Webシェル)

Web Shell 攻撃手法

Webサーバー上に設置される遠隔操作用の悪意あるスクリプト。

概要

Webshellは、攻撃者がWebサーバー上に設置する遠隔操作用の悪意あるスクリプトです。PHP・JSP・ASPX等のサーバーサイド言語で書かれ、ブラウザからアクセスするだけでファイル操作・コマンド実行・データベース操作を行えるGUIや単純なAPIを提供します。

設置経路は (1) アプリの脆弱性(ファイルアップロード・SQLi・RCE)を介した直接配置、(2) 管理画面のログイン突破後の手動アップロード、(3) 既存プラグイン/テーマの改ざんによる潜入が典型です。代表的なファイル名として `shell.php` `c99.php` `r57.php` `wso.php` 等があり、攻撃者は無作為にこれらのパスへアクセスして既設のWebshellを探索することもあります。

対策は (1) アップロード機能の厳格な制御(拡張子・MIME・実行権限)、(2) Webサーバーディレクトリの定期的な完全性チェック、(3) PHP関数(eval/system/exec等)の制限、(4) 不審なファイル探索ログの監視と遮断、です。

Scanrollはこう守る

Scanrollは、Webサーバー上のファイルを定期スキャンし、`eval($_POST...)` 等のWebshellに典型的なコードパターンを検出します。同時に、shell.php等を探索する外部からの不審アクセスも検知し、攻撃元IPを自動遮断します。発見時はダッシュボードと通知メールでお客様に即時お知らせします。