In de wereld van cybersecurity komen we vaak termen tegen die voor leken complex en onbekend kunnen klinken. Een van die termen is “webshell”. Maar maak je geen zorgen, in dit artikel zullen we je op een eenvoudige manier uitleggen wat een webshell is en waarom het belangrijk is om hiervan op de hoogte te zijn.
Wat is een Webshell?
Een webshell is een stukje kwaadaardige code of een script dat wordt gebruikt om ongeautoriseerde toegang te krijgen tot een computer of server via een webapplicatie. Het is als het ware een digitale achterdeur die hackers kunnen installeren op een website om later toegang te krijgen en controle uit te oefenen, zelfs nadat ze zijn buitengesloten.
Hoe Werkt een Webshell?
Stel je voor dat een webapplicatie een digitale voordeur is die toegang biedt tot een server. Een webshell is als een verborgen sleutel die door een hacker wordt gebruikt om die voordeur te openen, zelfs als de reguliere beveiligingssystemen proberen hem buiten te houden.
Hackers installeren webshells vaak door gebruik te maken van beveiligingskwetsbaarheden in de code van een website. Deze kwetsbaarheden kunnen ontstaan door fouten in de programmering, verouderde software of zwakke wachtwoorden. Zodra een hacker een webshell op een website heeft geplaatst, kunnen ze commando’s uitvoeren, bestanden uploaden of downloaden, gegevens stelen en zelfs verdere aanvallen lanceren.
Waarom Zijn Webshells Gevaarlijk?
Webshells vormen een ernstige bedreiging omdat ze hackers de mogelijkheid geven om ongemerkt toegang te krijgen tot gevoelige gegevens, persoonlijke informatie en zelfs de controle over hele servers. Dit kan leiden tot datalekken, identiteitsdiefstal, financiële verliezen en reputatieschade voor zowel individuen als organisaties.
Webshell voorbeelden
- PHP Shell: Deze webshell is geschreven in PHP en maakt gebruik van de scripttaal van de webserver. Het stelt hackers in staat om commando’s uit te voeren op de server waarop het is geïnstalleerd. Met PHP Shell kunnen aanvallers bestanden uploaden, downloaden, verwijderen, en ze kunnen systeemcommando’s uitvoeren om de server te manipuleren.
- c99 Shell: De c99 webshell is een van de meest beruchte en veelgebruikte webshells. Het bevat een grafische interface en een breed scala aan functies. Met c99 kunnen hackers bestanden en mappen beheren, databases aanroepen, wachtwoorden kraken, e-mail verzenden en toegang krijgen tot serverinformatie.
- WSO Web Shell: WSO staat voor “Web Shell by Orb”. Deze webshell is bekend om zijn uitgebreide mogelijkheden en gebruiksgemak voor hackers. Met WSO kunnen aanvallers bestanden uploaden, beheren en verwijderen, wachtwoorden kraken, SQL-injecties uitvoeren en systeemcommando’s invoeren.
- B374k Web Shell: De B374k webshell is een andere veelgebruikte variant. Het bevat geavanceerde functies zoals een bestandsbeheerder, een SQL-querybuilder en een terminalinterface. Hackers kunnen met B374k toegang krijgen tot gegevens, servers overnemen en uitgebreide controle uitoefenen.
- R57 Shell: De R57 webshell is bekend vanwege zijn mogelijkheid om backdoors te creëren en langdurige toegang te verschaffen tot een gecompromitteerde server. Het bevat ook een variëteit aan functies voor bestandsbeheer, informatie-extractie en systeemmanipulatie.
Hoe werken deze webshells? In essentie exploiteren ze beveiligingskwetsbaarheden in webapplicaties om toegang te krijgen tot de server. Zodra de webshell is geüpload, kunnen hackers via een webinterface op afstand opdrachten invoeren en systeemhandelingen uitvoeren. Dit kan variëren van bestandsbeheer en informatie-extractie tot het uitvoeren van kwaadaardige code en het manipuleren van serverinstellingen.
Hoe herken je een webshell op je server?
Het herkennen van een geïnstalleerde webshell op een systeem of server kan lastig zijn, omdat hackers er vaak alles aan doen om hun aanwezigheid te verbergen. Toch zijn er enkele tekenen en stappen die je kunt volgen om verdachte activiteiten en mogelijke webshell-infecties te identificeren:
- Ongebruikelijke Bestanden en Folders: Kijk naar de bestanden en mappen op je server. Let op onbekende of ongebruikelijke bestanden met vreemde namen en extensies. Webshells kunnen vaak worden gemaskeerd als legitieme bestanden, zoals afbeeldingen, documenten of scripts.
- Veranderde Bestandsdatums: Als de datums van bepaalde bestanden onverwacht zijn gewijzigd, kan dit wijzen op mogelijke wijzigingen door een aanvaller. Hackers passen vaak bestanden aan wanneer ze een webshell installeren of aanpassen.
- Ongebruikelijke Netwerkactiviteit: Monitor netwerkactiviteit op de server. Als je ongebruikelijke uitgaande of inkomende verbindingen ziet, kan dit wijzen op een actieve webshell die contact maakt met externe servers.
- Verdachte Serverprestaties: Als de server traag is, crasht of ongewoon gedrag vertoont zonder duidelijke reden, kan dit een teken zijn van een geïnstalleerde webshell die bronnen verbruikt.
- Ongebruikelijke Logboekvermeldingen: Controleer server- en toepassingslogboeken op verdachte activiteiten. Zoek naar ongeautoriseerde toegangspogingen, onverklaarbare inloggegevens en andere afwijkende gebeurtenissen.
- Vreemde Code of Verborgen Scripts: Doorzoek de broncode van je webapplicaties en websites op ongebruikelijke stukjes code, scripts of links die je niet hebt toegevoegd.
- Onverwachte Bestandswijzigingen: Vergelijk actuele bestanden met bekende goede versies. Als er onverwachte wijzigingen zijn, kan dit wijzen op wijzigingen door een webshell.
- Verhoogd Gebruik van Serverbronnen: Als je server ongewoon veel CPU, geheugen of bandbreedte gebruikt zonder duidelijke reden, kan dit wijzen op een actieve webshell die taken uitvoert.
- Mysterieuze Nieuwe Accounts: Controleer of er nieuwe gebruikersaccounts zijn gemaakt op je server. Hackers kunnen dergelijke accounts aanmaken om toegang te behouden.
- Ongebruikelijke Bestandspermissies: Let op bestanden of mappen met ongebruikelijke of onverklaarbare permissies. Een webshell kan proberen zichzelf te beschermen door permissies aan te passen.