— Initial Foothold: بعد ايجاد ثغرة تمكن من رفع ملفات علي web server، المهاجم قد يستعمل الثغرة لتحميل webshell علي الخادم مما يعطيه موضع قدم منه يكمل.
١/ بإستعمال علامة معينة (signature) تتعلق بالـ webshell نفسه.
٢/ بإستعمال علامات لا تتعلق بالـ webshell نفسه مثل:
— file system metadata
— web service logs
— system process logs
١/ قم بتجميع الـ metadata للملفات التي يمكن الوصول إليها عن طريق الـ web service في الخوادم المكشوفة علي الإنترنت، جمع الـ timestamps و inode و owner. معظم الملفات ستكون منشأة في أوقات متشابهة و متسلسلة (أثناء التنزيل، النقل أو التحديث للنظام/التطبيق/الموقع).
Happy Hunting!