Атаки с использованием веб-шеллов эволюционируют: маскировка под легитимные файлы WordPress и сканирование из облака Microsoft

Недавний анализ сетевой активности выявил любопытный случай целевого сканирования на наличие конкретного веб-шелла под названием "/turkshell.php". Что делает этот инцидент примечательным, так это источник запросов: все четыре IP-адреса, от которых исходили зондирующие запросы в течение одного дня, принадлежат инфраструктуре Microsoft, согласно данным отчёта исследователя. Это может указывать либо на атаку, нацеленную на системы внутри облачной среды самой Microsoft, либо на то, что эти ресурсы контролируются одной и той же организацией, чьи хосты уже скомпрометированы.

Более глубокий анализ поведения этих IP-адресов показал, что их интерес не ограничивался одним файлом. В общей сложности они проверили наличие 287 различных URL-путей. Изучение наиболее часто запрашиваемых из них позволяет сделать несколько важных выводов о современных трендах. Во-первых, ярко выражена тенденция к маскировке под компоненты популярной системы управления контентом WordPress. В топ-10 вошли пути, начинающиеся с "/wp-content/", а также файлы с именами вроде "/wp-content/admin.php" или "/wp-content/themes/index.php". Это попытка "слиться с толпой" на заражённом сервере, затрудняя обнаружение вредоносного файла среди тысяч легитимных.

Во-вторых, среди целей сканирования оказались не только очевидные шеллы, но и файлы, которые могут быть частью уязвимых плагинов, например, "/wp-content/plugins/hellopress/wp_filemanager.php". Это может служить как для сбора информации о системе, так и для поиска альтернативных векторов внедрения, если такой файл сам по себе содержит уязвимость или может быть подменён. Такой подход демонстрирует гибкость злоумышленников, которые не ограничиваются заранее известным списком эксплойтов, а исследуют окружение для максимально эффективного продолжения атаки.

С точки зрения практической защиты, эта история лишний раз подчеркивает неэффективность ручного или сигнатурного поиска по конкретным именам файлов. Список из почти трёхсот путей, использованный всего четырьмя сканирующими адресами, является явно неполным и постоянно меняется. Более того, подобные проверки могут давать ложные срабатывания, если на сервере легитимно используются файлы с такими же именами. Гораздо более надёжными мерами остаются превентивные действия: своевременное устранение уязвимостей, особенно позволяющих загружать или создавать файлы, жёсткое ограничение прав доступа для веб-сервера и компонентов CMS, а также постоянный мониторинг файловой системы на предмет несанкционированных изменений. К сожалению, для некоторых систем, таких как WordPress, требование возможности загрузки файлов часто противоречит принципу минимальных привилегий, что создаёт дополнительную головную боль для администраторов.

Таким образом, инцидент со сканированием из облака Microsoft демонстрирует, что угроза веб-шеллов становится всё более изощрённой. Атаки используют методы маскировки под легитимный трафик и компоненты популярного ПО, а их источники могут находиться в, казалось бы, доверенных сетях. Это требует от специалистов по безопасности комплексного подхода, сочетающего контроль целостности, анализ поведения и глубокое понимание архитектуры защищаемых приложений, вместо reliance на простые чек-листы известных угроз.

IPv4

• 20.215.65.23
• 20.48.232.178
• 51.103.130.249
• 51.12.84.116

URI

• /.mopj.php
• /.tmb/8.php
• /.tmb/a5.php
• /.tmb/nano.php
• /.well-known/
• /.well-known/7.php
• /.well-known/8.php
• /.well-known/a5.php
• /.well-known/f35.php
• /.well-known/simple.php
• /.yuf.php
• //a1.php
• //aa.php
• //about.php
• //admin.php
• //admina.php
• //adminfuns.php
• //av.php
• //cacheee.php
• //cgi-bin/index.php
• //edit.php
• //f6.php
• //fetch.php
• //inputs.php
• //wp-content/admin.php
• //wp-content/uploads/2021/02/index.php
• //wp-includes/css/dist/
• //wp-includes/css/index.php
• //wp-includes/js/jquery/
• //wp-includes/l10n/
• //wp-mter.php
• //xwpg.php
• /1.php
• /10.php
• /100.php
• /111.php
• /1111.php
• /1111.php?p=
• /13.php
• /133927/8.php
• /19.php
• /2.php
• /2026w.php
• /222.php
• /2e754/a5.php
• /3.php
• /4.php
• /403.php
• /404.php
• /5.php
• /6.php
• /66.php
• /7.php
• /8.php
• /9.php
• /a1.php
• /a2.php
• /a5.php
• /aa.php
• /aaa.php
• /aaa.php?p=
• /abc.php
• /abcd.php
• /about.php
• /about2.php
• /acp.php
• /admin.php
• /admin.php.
• /admin/controller/extension/extension/ultra.php
• /adminfuns.php
• /administrator/7.php
• /alfa.php
• /alfashell.php
• /aligk.php
• /alpha.php
• /an.php
• /as.php
• /ass.php
• /autoload_classmap.php
• /av.php
• /aw.php
• /axx.php
• /bal.php
• /bb.php
• /BDKR28WP.php
• /bengi.php
• /bgymj.php
• /bless.php
• /bless4.php
• /bogles.php
• /bs1.php
• /bthil.php
• /bypltspd.php
• /byrgo.php
• /cabs.php
• /cache.php
• /cacheee.php
• /cgi-bin/
• /cgi-bin/7.php
• /cgi-bin/8.php
• /cgi-bin/a5.php
• /cgi-bin/index.php
• /chosen.php
• /class.php
• /class19.php
• /class20.php
• /class-t.api.php
• /classwithtostring.php
• /classwithtostring.php?p=
• /cli/7.php
• /config.php
• /configPCJ/f35.php
• /content.php
• /control.php
• /css/autoload_classmap.php
• /defaults.php
• /dev.php
• /edit.php
• /eee.php
• /esp.php
• /ew.php
• /f35.php
• /f35_S.php
• /f6.php
• /fe5.php
• /fetch.php
• /fff.php
• /fi.php
• /file.php
• /file18.php
• /file21.php
• /file31.php
• /file48.php
• /file61.php
• /fine.php
• /flower.php
• /ftde.php
• /function/function.php
• /fvvff.php
• /fx.php
• /g.php
• /gecko-new.php
• /gelay.php
• /gettest.php
• /ghhjh.php
• /god4m.php
• /goods.php
• /gptsh.php
• /gssdd.php
• /hplfuns.php
• /images/simple.php
• /in.php
• /includes/7.php
• /index.php
• /index/8.php
• /index/function.php
• /inege.php
• /info.php
• /inputs.php
• /ioxi-o.php
• /item.php
• /jp.php
• /k.php
• /kbfr.php
• /kj.php
• /lock360.php
• /makeasmtp.php
• /makeasmtp.php?p=
• /mari.php
• /moon.php
• /motu.php
• /ms-edit.php
• /nano.php
• /new.php
• /NewFile.php
• /no1.php
• /no18.php
• /o.php
• /ok.php
• /ol.php
• /pcp/simple.php
• /plss3.php
• /plugins.php
• /plugins/7.php
• /prv8.php
• /qqa.php
• /randkeyword.PhP7
• /read.php
• /rip.php
• /s.php
• /sbhu.php
• /seo.php
• /sf.php
• /simple.php
• /style.php
• /swallowable.php
• /system.php
• /tea.php
• /test1.php
• /themes.php
• /tinyfilemanager.php
• /tinyfilemanager.php?p=
• /tmp.php
• /turkshell.php
• /txets.php
• /update/f35.php
• /uploads/
• /uuu.php
• /vee.php
• /w2025.php
• /we.php
• /well-known/nano.php
• /wen.php
• /wi.php
• /wk/index.php
• /wordpress/8.php
• /wp.php
• /wp1.php
• /wp-act.php
• /wp-admin/8.php
• /wp-admin/a.php
• /wp-admin/alfa.php
• /wp-admin/css/bolt.php
• /wp-admin/css/colors
• /wp-admin/css/colors/ectoplasm/
• /wp-admin/images/
• /wp-admin/js/
• /wp-admin/js/fi.php
• /wp-admin/js/widgets/
• /wp-admin/nano.php
• /wp-admin/network/index.php
• /wp-admin/user/index.php
• /wp-blog.php
• /wp-conf.php
• /wp-content/
• /wp-content/8.php
• /wp-content/a5.php
• /wp-content/admin.php
• /wp-content/plugins/core-plugin/include.php
• /wp-content/plugins/hellopress/wp_filemanager.php
• /wp-content/plugins/index.php
• /wp-content/plugins/pwnd/as.php
• /wp-content/plugins/WordPressCore/
• /wp-content/themes/
• /wp-content/themes/admin.php
• /wp-content/themes/hideo/network.php
• /wp-content/themes/index.php
• /wp-content/uploads/
• /wp-content/uploads/2021/02/index.php
• /wp-content/uploads/index.php
• /wp-good.php
• /wp-includes/
• /wp-includes/8.php
• /wp-includes/a5.php
• /wp-includes/css/dist/
• /wp-includes/css/index.php?p=
• /wp-includes/html-api/
• /wp-includes/ID3/
• /wp-includes/images/
• /wp-includes/IXR/test1.php
• /wp-includes/js/crop/cropper.php
• /wp-includes/js/jquery/
• /wp-includes/l10n/
• /wp-includes/nano.php
• /wp-includes/PHPMailer/
• /wp-includes/Requests/src/Response/about.php
• /wp-includes/SimplePie/
• /wp-includes/Text/Diff/Engine/about.php
• /wp-kd4xalrg7m.php
• /wp-login.php
• /wp-michan.php
• /wp-mter.php
• /wp-the.php
• /wp-trackback.php
• /wp-update.php
• /wpx.php
• /ws.php
• /x1da.php
• /xa.php
• /xmlrpc.php
• /xmrlpc.php
• /xozx.php
• /xqq.php
• /xwpg.php
• /xwx1.php
• /xx.php
• /zample.php