domingo, 16 de febrero de 2014

Detectar una web shell en tu servidor

Cuando tienes de cara muchos servicios al publico y entre ellos figura un sitio web, hay muchas amenazas que pueden atentar contra la información y las aplicaciones web de la organización, aun cuando se tengan unas políticas de seguridad buenas y una revisión constante de las actualizaciones del software y por supuesto auditorias constantes, puede que en algún momento tu servidor resulte comprometido o si ofreces un servicio de hosting, puede que alguna empresa tenga una aplicación web vulnerable y por esta un atacantes pueda tomar control del servidor web y comprometer todos los sitios alojados en el.

Cuando un atacante detecta e identifica una falla en alguna aplicación web, con toda seguridad tratara de subir una web shell, con la ejecutara comandos arbitrarios del sistema y de acceso a ficheros, con el fin de controlar el servidor.

Una solución practica para detectar web shell en tu servidor es utilizar NeoPI, que es un script en Python que busca reconocimiento de patrones en los códigos de las paginas web, aun cuando el código se encuentra ofuscado, utilizando un método de análisis recursivo en los directorios donde se aloja el sitio o sitios, para la detección utiliza los siguientes métodos:

  • Firmas: Busca patrones dentro del código de las paginas identificando funciones peligrosas y utilizadas en web shell como system(), eval(), etc.
  • Entropía de la información: Se encarga de medir la incertidumbre de una fuente de información.
  • Indice de coincidencia: Este método realiza comparaciones con un texto base de distribución con el objetivo de detectar alguna ofuscación o cifrado en una web shell.
  • Strings Largas: Identifica cadenas largas que generalmente representan código ofuscado.           
 Implementación de NeoPI

Aunque esta herramienta no es del todo perfecta, por los falso positivos que suele mostrar, no es una mala opción al momento de utilizar como medida de seguridad en tus servidores, un gestión adecuada y motorización te ayudara reducir el riesgo de las amenazas de una web shell.

Saludos.
Lexer Pars.    

No hay comentarios:

Publicar un comentario