WebShell是以Asp、Php、Jsp或Cgi等网页文件的形式存在的一种命令执行环境，也可以将其称作为一种网页后门。黑客在入侵了一个网站后，通常会将后门文件与网站服务器Web目录下正常的网页文件混在一起，然后就可以使用特定工具来访问Webshell后门，获得命令执行环境，达到控制网站服务器的目的。

当服务器被植入Webshell时，如何快速进行应急响应？其中最主要的步骤是找到隐藏的Webshell文件，下面将介绍常用快速定位Webshell文件的方法。

如果能获取到恶意请求的URL信息，就可以根据URL信息定位到Webshell文件。URL信息可以通过态势感知、WAF等监测预警系统获取，也可以通过对系统异常时间段的Web日志进行审计获取。

通过Webshell查杀工具进行扫描，可以定位到部分免杀能力不强的Webshell文件。例如：D盾、河马等工具。

可以重点排查事发过程中被创建或修改的文件，对这些文件进行锁定并查看文件属性。例如：Windows文件的时间属性，选择一个文件右键“属性”即可查看文件的时间属性，可以看到有“创建时间”、“修改时间”和“访问时间”三个属性：

- 创建时间：该文件在本载体本地址上创建的时间。

- 修改时间：在属性中保存的最后一次修改的时间。

- 访问时间：在属性中保存的最后一次访问的时间。

通过文件夹查看最近创建、修改的文件。

默认情况下，仅显示“修改日期”时间戳。当需要添加其他时间戳时，右键单击列标题上的任意位置，然后选择“更多”选项。

通过Windows Search查看最近创建和修改的文件。

除了指定“修改日期”（datemodified）外，还可以指定“创建日期”（datecreated）、“访问日期”（dateaccessed）。默认情况下，Windows将仅在索引位置中查找最近修改的文件。包括非索引位置，单击“搜索工具”中的“高级选项”，然后选中“系统文件”。

 热文推荐  

• 蓝队应急响应姿势之Linux
  

• 通过DNSLOG回显验证漏洞
  

• 记一次服务器被种挖矿溯源
  

• 内网渗透初探 | 小白简单学习内网渗透
  

• 实战|通过恶意 pdf 执行 xss 漏洞
  

• 免杀技术有一套（免杀方法大集结）(Anti-AntiVirus)
  

• 内网渗透之内网信息查看常用命令
  

• 关于漏洞的基础知识
  

• 任意账号密码重置的6种方法
  

• 干货 | 横向移动与域控权限维持方法总汇
  

• 手把手教你Linux提权