微软详细介绍了通过Cron在Linux服务器上持久化Cookie控制的PHPWebShell

admin
admin
admin
0
文章
0
评论
2026-04-07 00:39:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软研究发现威胁行为者正利用HTTPcookie控制Linux服务器上的PHPWebshell实现远程代码执行,通过cron作业建立持久化通道。该技术将恶意代码隐藏在正常流量中,仅在特定cookie值时激活,降低了可观测性。攻击者通过凭据泄露或漏洞利用初始访问,部署具有自愈功能的Webshell。微软建议实施多因素认证、监控异常登录、限制shell执行、审核cron作业及检查可疑文件。 综合评分: 88 文章分类: 恶意软件,web安全,安全运营,应急响应,威胁情报

cover_image

微软详细介绍了通过 Cron 在 Linux 服务器上持久化 Cookie 控制的 PHP Web Shell

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月4日 10:49 北京

微软 Defender 安全研究团队的调查结果显示,威胁行为者越来越多地使用 HTTP cookie 作为 Linux 服务器上基于 PHP 的 web shell 的控制通道,以实现远程代码执行。

“这些 Web Shell 不是通过 URL 参数或请求正文暴露命令执行,而是依靠威胁行为者提供的 cookie 值来控制执行、传递指令并激活恶意功能,”这家科技巨头表示。

这种方法更具隐蔽性,因为它允许恶意代码在应用程序正常执行期间保持休眠状态,仅在存在特定 cookie 值时才激活 Web shell 逻辑。微软指出,这种行为也适用于 Web 请求、计划任务和受信任的后台工作程序。

这种恶意活动利用了 Cookie 值可通过全局变量 $\_COOKIE在运行时获取这一特性,使得攻击者无需额外解析即可使用其提供的输入。此外,由于 Cookie 会融入正常的网络流量中,降低其可见性,因此这种技术不太可能引起任何警报。

cookie 控制的执行模型有不同的实现方式——

  • 一个 PHP 加载器,在解析结构化 cookie 输入以执行编码的辅助有效负载之前,使用多层混淆和运行时检查。
  • 一个 PHP 脚本,它将结构化的 cookie 数据分割成多个部分,以重建文件处理和解码功能等操作组件,并有条件地将辅助有效负载写入磁盘并执行它。
  • 一个 PHP 脚本,使用单个 cookie 值作为标记来触发威胁行为者控制的操作,包括执行提供的输入和文件上传。

至少在一个案例中,威胁行为者被发现通过有效的凭据或利用已知的安全漏洞获得了对受害者托管的 Linux 环境的初始访问权限,从而设置了一个 cron 作业,该作业会定期调用 shell 例程来执行混淆的 PHP 加载器。

这种“自愈”架构允许计划任务反复重新创建 PHP 加载器,即使它在清理和修复工作中被移除,从而创建一个可靠且持久的远程代码执行通道。PHP 加载器部署后,在正常流量期间保持非活动状态,并在收到带有特定 cookie 值的 HTTP 请求时立即激活。

微软补充道:“通过将执行控制权转移到 cookie 中,Web Shell 可以隐藏在正常流量中,仅在用户主动交互时才会激活。通过将基于 cron 的重新创建实现持久化,与通过 cookie 门控激活实现的执行控制分离,攻击者降低了操作噪音,并限制了在常规应用程序日志中可观察到的指标。”

上述所有实现方式的共同之处在于,它们都使用混淆技术来隐藏敏感功能,并使用基于 cookie 的门控技术来启动恶意操作,同时尽可能减少交互痕迹。

为了应对这一威胁,微软建议对主机控制面板、SSH 访问和管理界面强制执行多因素身份验证;监控异常登录活动;限制 shell 解释器的执行;审核 Web 服务器上的 cron 作业和计划任务;检查 Web 目录中是否存在可疑的文件创建;并限制主机控制面板的 shell 功能。

微软表示:“持续使用cookie作为控制机制表明攻击者重复使用了已有的Web Shell攻击技术。通过将控制逻辑转移到cookie中,攻击者能够实现持续的入侵后访问权限,从而绕过许多传统的检查和日志记录控制措施。”

“攻击者并没有依赖复杂的漏洞利用链,而是利用环境中已有的合法执行路径,包括 Web 服务器进程、控制面板组件和 cron 基础设施,来部署和保存恶意代码。”

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《微软详细介绍了通过 Cron 在 Linux 服务器上持久化 Cookie 控制的 PHP Web Shell》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
清明节 网络安全文章

清明节

文章总结: 综合评分: 0 文章分类: 其他清明节 数默科技 数默科技 数默科技 2026年4月5日 09:00 四川免责声明:本文所载程序、技术方法仅面向合法
04-070 评论
戏剧性变化出现了! 网络安全文章

戏剧性变化出现了!

文章总结: 本文介绍藏族青年格桑在虫草市场乱象中坚持源头直销模式,以实惠价格提供高品质冬虫夏草。文章强调其18年从业经验、三重清洁工艺、货到付款保障,并多次引导
04-070 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0