Webshells Hiding in .well-known Places
发布日期:2025-09-25
最后更新:2025-09-25 14:24:49 UTC
作者:Johannes Ullrich
版本:1
我们的蜜罐经常记录到对.well-known目录下文件的请求。例如:
|
|
文件名表明攻击者很可能在寻找Webshell。我认为他们选择在.well-known目录中寻找的原因在于,这里是隐藏Webshell而不被网站更新覆盖的理想位置。
.well-known目录本应用于存放各种信息文件[1],例如ACME TLS挑战所需的文件。因此,它是唯一必须通过Web服务器访问的以".“开头的目录或文件。但同时,它对Unix命令行用户又是"隐藏"的。我之前曾写过关于.well-known合法用途的文章[2]。
我们还观察到针对acme-challenge和pki-validation子目录中PHP文件的请求。以下是我们蜜罐中捕获的一些常见但非标准的URL路径:
/.well-known/pki-validation/about.php/.well-known/about.php/.well-known/acme-challenge/cloud.php/.well-known/acme-challenge/about.php/.well-known/pki-validation/xmrlpc.php/.well-known/acme-challenge/index.php
参考资料
[1] https://datatracker.ietf.org/doc/html/rfc8615
[2] https://isc.sans.edu/diary/26564
Johannes B. Ullrich, Ph.D., SANS.edu研究院长
Twitter |
关键词:wellknown webshells