Webshells Hiding in .well-known Places
发布: 2025-09-25
最后更新: 2025-09-25 14:24:49 UTC
作者: Johannes Ullrich(版本:1)
通过我们的蜜罐记录,我经常看到对.well-known目录中文件的请求。例如:
|
|
文件名表明攻击者很可能在寻找Webshell。我认为他们选择在.well-known目录中查找的原因是,这里可以很好地隐藏Webshell而不被网站更新覆盖。
.well-known目录原本用于存放各种信息文件[1],例如ACME TLS挑战。因此,它是唯一必须通过Web服务器访问的以".“开头的目录或文件。但同时它对Unix命令行用户又是"隐藏"的。我之前曾写过关于.well-known合法用途的文章[2]。
我们还观察到对acme-challenge子目录和pki-validation子目录中PHP文件的一些请求:
以下是我们蜜罐中捕获的一些较常见但非"标准"的.well-known URL请求:
/.well-known/pki-validation/about.php/.well-known/about.php/.well-known/acme-challenge/cloud.php/.well-known/acme-challenge/about.php/.well-known/pki-validation/xmrlpc.php/.well-known/acme-challenge/index.php
参考资料:
[1] https://datatracker.ietf.org/doc/html/rfc8615
[2] https://isc.sans.edu/diary/26564
– Johannes B. Ullrich, Ph.D., SANS.edu研究院长