WB Tehditleri

WB nedir, nasıl tespit edilir?

Web shell kategorisi; uzlaşılmış web sunucularına yerleştirilmiş PHP/ASPX/JSP arka kapı script'lerinin barındırıldığı veya bunlara erişim sağlayan kaynakları temsil eder (China Chopper, Behinder, Godzilla, AntSword).

Tespit; web sunucusu dosya bütünlük izleme (FIM), beklenmedik dizinlere yazılan .php/.aspx/.jsp dosyaları, WAF'ta web shell istek desenleri (örn. /shell.php?cmd=) ve EDR'de web server process'inin anormal child process oluşturması üzerinden sağlanır.

Savunma; FIM alarmları, web sunucusunda yazılabilir dizinlerde script yürütmenin devre dışı bırakılması (PHP open_basedir, Apache Options -ExecCGI), WAF web shell kural setleri ve düzenli web shell taraması (Yara, gcat-anti-webshell) ile sağlanır.

Kritiklik dağılımı

Toplam 0 WB göstergesinin operasyonel risk bandlarına dağılımı.

Önerilen Aksiyonlar

WB kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.

• 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
• 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
• 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
• 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
• 5 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —

Filtre Matrisi