Webshell藏身于.well-known目录的隐秘威胁

本文通过蜜罐捕获的异常请求,揭示了攻击者利用.well-known目录隐藏webshell的新型攻击手法。文章详细分析了该目录的合法用途及其被滥用的风险,并列举了常见的恶意文件路径,为Web应用安全防护提供了重要参考。

Webshell藏身于.well-known目录的隐秘威胁

发布:2025-09-25 | 最后更新:2025-09-25 14:24:49 UTC 作者:Johannes Ullrich(版本:1)

我们的蜜罐经常记录到对.well-known目录下文件的请求,例如:

1
2

GET /.well-known/xin1.php?p
Host: [蜜罐主机名]

文件名表明攻击者很可能在寻找webshell。我认为他们选择.well-known目录的原因在于,这里可以隐藏webshell且不会被网站更新覆盖。

.well-known目录本应用于存放各种信息文件[1],例如ACME TLS挑战文件。因此,它是唯一必须通过Web服务器访问的以".“开头的目录或文件,但对命令行用户而言却是"隐藏"的。我曾在过往文章[2]中讨论过该目录的合法用途。

我们还观察到针对acme-challenge和pki-validation子目录中PHP文件的请求。以下是我们蜜罐中捕获的常见非标准URL示例:

  • /.well-known/pki-validation/about.php
  • /.well-known/about.php
  • /.well-known/acme-challenge/cloud.php
  • /.well-known/acme-challenge/about.php
  • /.well-known/pki-validation/xmrlpc.php
  • /.well-known/acme-challenge/index.php

参考文献
[1] https://datatracker.ietf.org/doc/html/rfc8615
[2] https://isc.sans.edu/diary/26564


Johannes B. Ullrich, Ph.D., SANS.edu研究院长
Twitter|

关键词: wellknown webshells

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次