वेब एप्लिकेशन में हैक करने के लिए, हमलावर हैकर्स आमतौर पर कमजोर खातों को ढूंढने का प्रयास करते हैं या लक्षित वेब सर्वर पर कमजोरियों का पता लगाने का प्रयास करते हैं। स्वयं की रक्षा करने के लिए, सिक्योरिटी एडमिनिस्ट्रेटर आमतौर पर सर्वर पैचिंग के द्वारा कमज़ोर एकाउंट्स को सुरक्षित करने का प्रयास करते हैं। जब इन कमज़ोरियों का समाधान हो जाता हैं, तो हमलावर आमतौर पर अपने लक्ष्यों को बदलते हैं और नई कमजोरियों की खोज करते हैं या कमजोर खाते की जानकारी का पुन: उपयोग करने का प्रयास करते हैं। आक्रमणकर्ता के लिए, इसमें बहुत समय और प्रयास की आवश्यकता होती है। इस कारण, हमलावर अक्सर अटैक किए गए सर्वरों के नियंत्रण को बनाए रखने के लिए ""वेबशेल्स"" नामक बैकडोर को स्थापित करते हैं। एक बार जब यह द्वार स्थापित हो जाता है, तो हमलावर इन सर्वरों से किसी भी समय जानकारी चोरी कर सकते हैं, साथ ही इन सर्वरों से प्राप्त जानकारी का इस्तेमाल कर उसी इन्वायरमेंट के अन्य सर्वरों पर भी आसान से अटैक हो सकता हैं। वेबशेल्स का प्रयोग काफी लम्बे समय से हो रहा हैं और कम्पनिया अक्सर इनसे अपने आप को सुरक्षित रखने के लिए 'सिग्नेचर बेस्ड एंटी वाइरस' का प्रयोग करती हैं हालांकि, हाल के वर्षों में,वेबशैल का सोर्स कोड मुश्किल से पड़े जाने के कारण वह अपने आप को छुपा लेता हैं और सिग्नेचर-बेस्ड एंटी वाइरस सॉफ्टवेयर उन्हें ढूंढ नहीं पाता। इस वजह से एंटी-वाइरस विक्रेताओं ने वेबशैल के बजाय कम्पाइलड बॉटनेट या रैंसमवेयर की तरफ अपना ध्यान केंद्रित किया हुआ हैं।
वेबशैल को ढूंढने के लिए चलती हुई वेब आप्लिकेशन के ज़रूरी संसाधनो का उपयोग होता हैं और इससे सर्वर रिस्पॉन्स पर भी प्रभाव पड़ता हैं और इसके अलावा, वेब्शेल कई प्रकार के होते हैं तो उनका पता लगाना बहुत ही कठिन हो जाता हैं। हालांकि, एक बार एक बैकडोर स्थापित हो जाने पर, न ही अपने सर्वर पर वाइरस अटैक और गोपनीय सूचना की चोरी हो सकती हैं बल्कि सर्वर का इस्तेमाल करने वाले दूसरी कंपनियों के वेब आप्लिकेशन पर हमला होने वाले केस भी कई पाए गए हैं, जो की बहुत ही नुकसानदायक हो सकता हैं आपकी कंपनी के लिए। पारम्परिक इस्तेमाल किये जाने वाले सिग्नेचर-बेस्ड तक्नीक का इस्तेमाल किए बगैर इन नुकसानदायक वेबशैल का विनाश करने के लिए इस प्रोड्कट का जन्म हुआ। नए संरचन पर विचार कर के,इनस्टॉल हुए वेब शैल को तुरंत खोज कर रिपोर्ट बनाने वाला सिस्टम हैं AntiShell WebShellHunter
एंटीशेल वेबशैल हंटर
वेब पर चलने वाले शैल प्रोग्राम का सामान्य नाम हैं वेब शैल,
कंप्यूटर की कई भाषाओँ (जैसे पीएचपी,पर्ल,पाइथन) में लिखे यह वेबशैल
जब सर्वर पर इनस्टॉल हो जाते हैं तो यह बैकडोर का काम करता हैं
और रैंडम OS कमांड को चलाकर सर्वर से जानकारी लीक या सर्वर शटडाउन कर देता हैं।
साथ ही,जब एक बार बैकडोर बन जाता हैं तो और भी कई प्रकार के आक्रमण की सम्भावना बढ़ जाती हैं,
आक्रमण जैसे रैंसमवेयर अटैक,दूसरों को वाइरस का वितरण और स्टेप्पिंग-स्टोन सर्वर बन जाने जैसे आदि जो की बहुत ही नुकसानदायक हो सकता हैं।
आज कल वेब शैल भी विकसित हो गया हैं,
ऐसे वेब शैल भी हैं जो अपने आप को खुद छुपा लेते हैं या फिर खुद ही अपना विनाश भी कर लेते हैं।
इनको ढूंढना बहुत की मुश्किल होते जा रहा हैं।
General functions of webshells | Summary |
---|---|
सर्वर जानकारी का संग्रह | सर्वर की जानकारी (सीपीयू प्रकार, इन्सटाल्ड मेमोरी साइज,हार्ड डिस्क की क्षमता, OS प्रकार),इन्सटाल्ड सॉफ्टवेयर वर्शन (अपाचे और PHP वर्शन), प्रक्रिया की जानकारी आदि |
फाइल संचालन | फाइल संचालन फाइलों के डाटा को अपलोड, डाउनलोड, हटाने और बदलने की क्षमता।कुछ मामलों में, वेब शैल एक साधारण संपादन इंटरफ़ेस के माध्यम से फ़ाइलों कोसंशोधित करने की छमता भी रखते हैं। |
OS कमांड एक्ज़िक्यूशन सहायक | "वेब शैलस एक टर्मिनल कंसोल एक्सेस की क्षमता की नकल करते हुए एक सरल वेब मैनेजमेंट पेज के माध्यम से OS स्तर के आदेशों को एक्ज़िक्यूट करने की क्षमता रखते हैं । " |
डेटाबेस कनेक्शन | "वेब शैल जिस सर्वर पर इनस्टॉल होता हैं उस से जुड़ा हुआ डेटाबेस या उस नेटवर्क के अन्य सर्वर के डाटाबेसों के लिए एक वेब इंटरफ़ेस बन जाता हैं " |
FTP कनेक्शन | "वेब शैल जिस सर्वर पर इनस्टॉल होता हैं उस पर होस्टेड FTP सर्विसेज़ और उस नेटवर्क के अन्य FTP सर्वर्स के साथ कनेक्ट करने वाला वेब इंटरफ़ेस हैं। " |
अन्य होस्ट पर लोगइन ब्रूट-फर्स(Brute-Force) अटैक | "अन्य होस्ट के SSH या TELNET जैसे पब्लिक सर्विसेज़ पर लॉगिन ब्रूट-फ़ोर्स अटैक करने की क्षमता" |
कैरेक्टर स्ट्रिंग ऑपरेशन टूल | "करेक्टर स्ट्रिंग को URL की इनकोडिंग/डिकोडिंग, BASE64 की एन्कोडिंग/डिकोडिंग, MD5 याSHA1 की हैशिंग की छमता" |
स्वयं नष्ट होना | जब वेब शैल अनावश्यक हो जाता है, तब वेब शैल खुद को नष्ट करने की क्षमता रखता हैं। |
"वेब शैल अक्सर सेशन को मैनेज करने वाले अडमिंस्ट्रेटर की शक्ति रखता हैं। अज्ञात यूजर जब वेब शैल को एक्सेस करने का प्रयास करता हैं तो उस यूजर को वेब शैल के मेन फंक्शन को एक्सेस करने नहीं देता। यूजर-एजेंट (जैसे वेब क्रॉलर) को नुकसानदायक कॉन्टेंट भेजना या वेब शैलको एक्सेस करने वाले ब्राउज़र पे ""404 NOT FOUND"" का मैसेज दिखाताहैं। पहले से सेट कुछ ख़ास पैरामीटर पर ही केवल रिस्पॉन्ड करताहैं और उन्ही को एक्ज़िक्यूट करता हैं, इस कारण वेब शैल को ढूंढना बहुत ही कठिन हो जाता हैं। हमलावर स्वयं के वेब शैल भी डिज़ाइन करसकते हैं या मौजूद वेब शैल का पता लगाने से बचने के लिए अस्पष्ट किया भी जा सकता हैं।"
"वेबशैल का मुश्किल से पता लगने का एक कारण यह हैं की वेबशैल कई भाषाओं में लिखे जाते हैं, यह एक दुर्भावनापूर्ण हैकर द्वारा एक-एक कर के ऐसा बनाया जाता हैं की वह ढूंढने में बहुत मुश्किल हो जाए। भाषा चाहे कोई भी हो।,AntiShell इन्हे ढूंढ ही लेता हैं।यह निर्दिष्ट डायरेक्टरी की सभी फाइलों को खोलता है और इसे प्रति पंक्ति के आधार पर जांचता है।यह हर टाइप की फाइल को सपोर्ट करता हैं,चाहे वह PHP, ASP,PERL, PYTHON, JAVA, txt या इमेज फाइल क्यों न हो।यदि जांच से पता लगता हैं की वह एक वेबशैल हैं तो एक्सक्लूसिव स्क्रीन पर मैसेज तुरंत आ जाता हैं। "
"इसके अलावा, क्योंकि स्कैनिंग अंतर की जाँच कर रहा है,यह वही है जब फाइल में कुछ बदलाव आने पर ही उसकी जाँच होती हैं, इससे स्कैन के समय की बहुत बचत होती हैं।जब खोजा हुआ वेबशैल एकअज्ञात वेबशैल होता हैं , तो विस्तृत जानकारी मास्टर सर्वर पर प्रसारित होती है,जब भी ज़रुरत हो उस जानकारी को साझा जा सकता हैं। यह अन्य कंपनियों के सर्वर से प्राप्त जानकारी को भी इसी प्रकार हर समय जांचता रहता हैं , और इस प्रकार हर समय वेबशैल की जानकारी को अपडेट करता है। "
"चूंकि एक फाइल की एक-एक लाइन की जाँच की जाती है, अगर फाइलों की संख्या भारी होती है,
तो स्कैन को पूरा करने के लिए समय लगता है।"
"दूसरे और बाद के स्कैन के लिए, केवल परिवर्तित फ़ाइल को स्कैन किया जाता हैं।तो, AntiShell के साथ, आप पहले से स्कैन करने के लिए समय आरक्षित कर सकते हैं
इसके अलावा, स्कैनिंग पूरा होने पर,एडमिनिस्ट्रेटर को स्वचालित ईमेल चला जाता हैं!
आप इसे एक बार, सप्ताह में एक बार, किसी भी सेट समय से शुरू होने के लिए सेट किया जा सकता हैं।"""
Level | manage server hosts | manage administrators | scan execution | viewing reports | support |
---|---|---|---|---|---|
सर्वर एडमिनिस्ट्रेटर | ○ | ○ | ○ | ○ | ○ |
प्रभारी व्यक्ति | × | × | ○ | ○ | ○ |
मैनेजमेंट स्क्रीन पर आसानी से नए यूजर को ऐड किया जा सकते हैं।यूज़र्स विशेषाधिकार प्राप्त कर सकते हैं और प्रत्येक प्राधिकरण के लिएकाम कर सकते हैं। कार्मिक स्तर पर, आप सर्वर के IP में वृद्धि करना या किसी को प्रभारी बनाना संभव नहीं हैं। किसी भी केस में, वेब शैल मिलने पर आप विस्तृत वेरिफिकेशन परिणाम प्राप्त करने के लिए सहायता प्राप्त कर सकते हैं।
"वेबशैल पर फोकस करने वाली सर्विस मार्किट में केवल AntiShell हैं। दूसरे कंपनियों के द्वारा बनाये गए एंटी-वाइरस सॉफ्टवेयर में 'वेब शैल' केवल एक ऑप्शन की तरह होता हैं और वह भी सिग्नेचर-बेस्ड खोज पर निर्धारित हैं जिससे ढूंढने की संख्या बहुत ही काम हैं।यहां तक कि अगर पता लग भी जाये, तो यह पता लगाना और बाद में प्रसंस्करण विधि आदि के लिए अलग से समर्थन शुल्क आदि का भुगतान करना आवश्यक है।AntiShell न ही फाइल को ढूंढ कर बताता हैं बल्कि वह फाइल किस डेट और टाइम को बानी थी और उस फाइल पर किसका कितना हक़ हैं वह भी रिपोर्ट करता हैं।उसी समय यह सूचना हमारे कस्टमर सेंटर में भी पहुंच जाती हैं और हम केस से झूझने के लिए, हर तरह का सप्पोर्ट देने के लिए हमेशा तैयार रहते हैं। "
1)"AntiShell सर्विस के लिए, जिन यूज़र्स के पास फोल्डर को एक्सीक्यूट करने की प्रिविलेज होती हैं वह खुद ही स्कैन को स्टार्ट कर सकते हैं। स्कैनिंग रियल-टाइम या स्केड्यूलर के ज़रिये की जा सकती हैं। स्कैनिंग ज़्यादातर एक बार में एक ही सर्वर पर की जाती हैं और साप्ताहिक या मासिक स्कैन का स्केड्यूल सेट किया जा सकता हैं।स्कैनिंग फोल्डर के हर एक लेवल पर लागु की जा सकती हैं।"
2)चुने हुए सर्वर पर स्कैन
3)"स्कैन का सफल समापन होने पर AntiShell, परिणाम को मैनेजमेंट सर्वर पर अपलोड कर देगा। मैनेजमेंट कंसोल में स्कैन का परिणाम और पहचानी हुई फाइल को भी देख सकते हैं।अच्छी फाइलों पर फाइल अपवाद भी लगा सकते हैं। "
4)"स्कैन के परिणाम का रिव्यू करते हुए , पहचानी हुई फाइलों को सैंडबॉक्स एनालिसिस के लिए भी सीधा भेजा जा सकता हैं मैनेजमेंट कंसोल से।"
5)"भेजी हुई हर फाइल को हम सैंडबॉक्स पर टेस्ट करते हैं। फाइल के महत्व के अनुसार उस पर एक्शन लिया जाता हैं। अपाचे कॉन्फ़िगरेशन फाइल के होते हम सलाह देते हैं की दुर्भावनापूर्ण सोर्स कोड को फाइल से हटाना चाहिए और फाइल को बचाना चाहिए। या यदि यह एक उच्च महत्व वाली फाइल है तो हम आपको विशिष्ट सलाह देंगे (सशुल्क सपोर्ट)"
"सिग्नेचर-बेस्ड तरीकें से न पकडे जाने वाले विभिन्न प्रकार के अटैक के पैटर्न और विभिन्न प्रकार के वेबशैल होने के कारण, ""वेबशैल को किस आधार पर साबित कर सकते हैं"" यह हमारे सिस्टम का कोर बन गया। क्योंकि पेटेंट के अधीन हिस्से हैं, हम बिना विवरण किये इन आसान शब्दों में हमारे काम करने का तरीका समझा सकते हैं।"