
Gli attacchi di tipo shell rappresentano una minaccia significativa per la sicurezza online: gli aggressori utilizzano script maligni per prendere il controllo dei server e manipolare i siti web. Individuare questi attacchi occulti può essere difficile. Ecco perché è fondamentale comprenderli e difendersi da essi in modo efficace.
In questa guida completa, analizzeremo la natura degli attacchi di tipo web shell, esploreremo il loro funzionamento, esamineremo i diversi tipi, forniremo esempi reali e ti mostreremo come prevenire un attacco di tipo web shell.
Indice dei contenuti
- Che cos’è un attacco Web Shell?
- Come funzionano gli attacchi alla Web Shell?
- Tipi di shell web
- Esempi di attacco alla Web Shell
- Perché si usano gli attacchi con la Web Shell?
- Come rilevare gli attacchi di Web Shell?
- Come bloccare le iniezioni di shell web?

Che cos’è un attacco Web Shell?
Un attacco web shell è un attacco informatico in cui un aggressore sfrutta le vulnerabilità di un sito web o di un’applicazione web per caricare sul server uno script dannoso (noto come “web shell”). Questa shell web permette all’aggressore di accedere e controllare il sito web o il server colpito.
Nella cybersecurity, una “shell” si riferisce a un’interfaccia a riga di comando che consente agli utenti di interagire con un computer o un server inserendo dei comandi. Il termine “web shell” deriva dalla combinazione di “web” (che indica l’associazione con i server web) e “shell” (che indica la funzionalità dell’interfaccia a riga di comando).
Questo attacco opera sotto le sembianze di script apparentemente legittimi sul lato server. Potresti essere ancora all’oscuro di tutto perché questi script si annidano nel tuo sistema, garantendo all’hacker un accesso illimitato. Gli attacchi di tipo web shell consentono all’aggressore di navigare liberamente nelle directory accessibili dal web, di manipolare i file e persino di creare una backdoor per futuri exploit.
I criminali informatici realizzano attacchi di tipo web shell in un linguaggio che i server web interessati possono interpretare, come PHP, ASP, JSP o persino Perl. In questo modo gli script sono difficili da individuare e possono eludere i sistemi di sicurezza. Le web shell possono colpire sia i server locali che quelli rivolti a internet.
Come funzionano gli attacchi alla Web Shell?
Immagina di avere un’applicazione web in esecuzione sul tuo server. Un aggressore individua una vulnerabilità, forse un campo di input non sanificato o un software obsoleto. Sfruttando questo punto debole, carica uno script dannoso camuffato da file innocuo. Questo script viene eseguito sul tuo server e dà all’aggressore la possibilità di eseguire comandi da remoto.
Una volta installata, la web shell permette all’aggressore di manipolare il tuo server. Può eseguire comandi, rubare dati sensibili o addirittura utilizzare il tuo server come piattaforma di lancio per ulteriori attacchi. La portata dei danni è vasta: dal furto di dati, alla deturpazione del sito, fino all’acquisizione completa del server.
La natura furtiva dei web shell li rende particolarmente pericolosi. Possono rimanere inattive, rendendo difficile il loro rilevamento. L’aggressore può anche modificare lo script della web shell per eludere le misure di sicurezza standard.
Il loro obiettivo è quello di mantenere l’accesso a lungo termine, assicurandosi che la web shell rimanga inosservata. Possono aggiornare periodicamente lo script o cambiarne la posizione per eludere il monitoraggio della sicurezza.
Tipi di shell web
Adesso passiamo in rassegna i vari tipi di web shell. Questa conoscenza ti aiuterà ad anticipare le potenziali vulnerabilità e a sviluppare strategie di difesa più solide.
Gusci web PHP
Le web shell PHP sono essenzialmente script malevoli che consentono l’accesso e il controllo non autorizzato di un server web. Gli hacker li utilizzano ampiamente a causa della popolarità di PHP nello sviluppo web.
Possono essere semplici, poche righe di codice, o complesse, nascoste in file legittimi per eludere il rilevamento.
WSO(Web Shell by Orb) e C99 sono due esempi prevalenti, che offrono una ricca serie di funzionalità per gli hacker, tra cui la gestione dei file, l’esecuzione di comandi e l’interazione con i database.
Gusci web ASP
Utilizzate prevalentemente nelle Active Server Pages di Microsoft, le web shell ASP sono script dannosi che gli aggressori iniettano in un server web di destinazione per ottenere l’accesso remoto.
Un attacco riuscito con le web shell ASP può portare al furto di dati, al danneggiamento del server o all’acquisizione completa del sistema. Il tuo server diventa un burattino, controllato da un attaccante a chilometri di distanza. Ecco alcune delle più diffuse web shell ASP:
- China Chopper: Comunemente associato agli attori delle minacce cinesi, è noto per le sue dimensioni ridotte e la facilità d’uso. Nonostante la sua semplicità, offre potenti funzioni per l’esecuzione di comandi da remoto.
- ASPXSpy: una shell web che consente agli aggressori di caricare, scaricare ed eseguire file dannosi su un server compromesso. Fornisce un’interfaccia basata sul web per gestire il sistema colpito.
- Scanner IIS 6.0: Questo codice di shell web si rivolge specificamente ai server IIS 6.0, fornendo agli aggressori la possibilità di enumerare i file, eseguire comandi e svolgere attività di ricognizione.
Gusci web JSP
Le web shell JSP, acronimo di Java Server Pages, operano manipolando il linguaggio di codifica JSP per ottenere l’accesso a un server. Gli aggressori esperti installano le web shell per comandare e controllare il processo del server web.
Le shell web JSP più sofisticate possono includere funzioni come il caricamento e il download di file e persino interfacce grafiche per semplificare l’interazione con il server compromesso. Gli aggressori possono sfruttare queste funzionalità per navigare nel file system, scaricare dati sensibili o aumentare ulteriormente il controllo.
Shell web Perl
Le web shell Perl sono script dannosi scritti nel linguaggio di programmazione Perl, progettati per compromettere i server web. Gli aggressori iniettano questi script nei server vulnerabili per ottenere accesso e controllo non autorizzati. Una volta inserite, le web shell Perl consentono agli aggressori di eseguire comandi da remoto.
Ad esempio, una shell web in Perl potrebbe camuffarsi da un file innocente, come un’immagine. Una volta caricata su un server sensibile, apre una backdoor che consente all’attaccante di interagire con il server a distanza. Queste web shell spesso includono funzioni per eseguire comandi, navigare nel file system e trasferire file. Sfruttando la flessibilità del Perl, gli aggressori possono nascondere il loro comportamento dannoso.
Gusci web Python
Le web shell Python spesso si camuffano utilizzando nomi di file innocenti, come “image.jpg” o “index.php”, per confondersi con i file legittimi di un server. Possono essere iniettate in applicazioni web vulnerabili attraverso vari mezzi, ad esempio sfruttando campi di input poco protetti o funzionalità di caricamento di file.
Gli aggressori possono utilizzare framework Python noti come Flask o Django per creare shell web che sembrano applicazioni web benigne ma, in realtà, forniscono accesso e controllo non autorizzati. Questi script di solito includono funzionalità per eseguire comandi di sistema, navigare nel file system e interagire con il server da remoto.
Esempi di attacco alla Web Shell
Questi due esempi di attacco alla web shell ti daranno un’idea di come gli aggressori sfruttano le vulnerabilità di un server web e delle conseguenze disastrose che ne possono derivare.
Cina Chopper
In un recente attacco informatico, la web shell China Chopper ha preso di mira otto provider australiani di web hosting. Questi provider sono stati vittime di violazioni della sicurezza dovute a un sistema operativo obsoleto, nello specifico Windows Server 2008. Sfruttando questa vulnerabilità, gli aggressori hanno collegato i server web compromessi a un pool di mining di Monero, riuscendo a estrarre circa 3868 AUD di monete Monero.

Inoltre, nel 2021, una versione della shell web China Chopper, programmata in JScript, ha svolto un ruolo fondamentale nelle operazioni del gruppo Hafnium Advanced Persistent Threat. Questo gruppo ha sfruttato quattro vulnerabilità zero-day in Microsoft Exchange Server, contribuendo alla significativa violazione dei dati di Microsoft Exchange Server del 2021.
WSO Guscio Web
Si tratta di un altro importante esempio di web shell basata su PHP. La shell web Wso offre un’interfaccia facile da usare e un arsenale di funzionalità, come la gestione dei file, l’esecuzione di comandi e le operazioni sui database. Ha sfruttato numerosi attacchi, tra cui la massiccia violazione dei dati di Equifax nel 2017.
Equifax, una delle principali agenzie di informazioni creditizie degli Stati Uniti, ha subito una violazione che ha esposto i dati riservati di circa 147 milioni di americani.
Gli aggressori hanno sfruttato una vulnerabilità del framework per applicazioni web Apache Struts, per il quale era disponibile una patch che però non è stata applicata da Equifax. L’azienda ha accettato un accordo fino a 700 milioni di dollari per risolvere le indagini e le cause legali federali e statali.
Perché si usano gli attacchi con la Web Shell?
Ecco dieci motivi per cui gli hacker utilizzano attacchi di tipo web shell:
- Accesso non autorizzato: Le shell web forniscono agli aggressori una backdoor in un server web.
- Furto di dati: Gli aggressori possono utilizzare le web shell per rubare i dati sensibili memorizzati nel sistema.
- Esecuzione di comandi: Le shell web consentono l’esecuzione di comandi arbitrari sul server esposto, permettendo agli hacker di manipolare file, installare malware o eseguire altre azioni dannose.
- Negazione distribuita del servizio (DDoS): Le webshell aiutano a lanciare attacchi DDoS inondando di traffico siti web o servizi mirati, causandone l’indisponibilità.
- Mantenimento della persistenza: Uno script di shell web fornisce un punto di accesso persistente agli aggressori, consentendo loro di controllare il server anche se sono state applicate le ultime patch di sicurezza.
- Cryptojacking: Gli aggressori possono utilizzare le web shell per installare software di terze parti sui server, utilizzando le risorse del server per estrarre criptovalute all’insaputa o senza il consenso del proprietario.
- Reclutamento di botnet: Le shell web possono trasformare i server violati in parte di una botnet, che può svolgere diverse attività dannose, tra cui ulteriori attacchi e la distribuzione di spam.
Come rilevare gli attacchi di Web Shell?
L’individuazione di un attacco di tipo web shell si basa sul riconoscimento di comportamenti insoliti del server, come schemi di traffico di rete inaspettati o modifiche ai file di sistema. Gli attacchi di tipo web shell lasciano in genere alcuni segni rivelatori. L’implementazione della convalida dell’input dell’utente è fondamentale per contrastare le vulnerabilità di inclusione di file sia locali che remote.
Indicatori comuni della shell web
Un’improvvisa impennata dei dati inviati dal tuo server potrebbe indicare un attacco da parte di una web shell. Le web shell spesso modificano i file di sistema, quindi cambiamenti inaspettati potrebbero essere un avvertimento. Se il tuo server è più lento o instabile, potrebbe essere sotto attacco.
Monitora regolarmente il tuo server per rilevare eventuali cambiamenti inaspettati. Gli script di shell web spesso lasciano tracce nei log del server. Modelli insoliti di attività potrebbero indicare iniezioni di web shell. Il concatenamento delle web shell è un’altra tattica utilizzata dagli aggressori per evitare il rilevamento delle web shell.
Per prevenire l’installazione di web shell, analizza i log del server e utilizza strumenti specializzati. L’analisi dei file di log del server può fornire approfondimenti e soluzioni precise post-attacco.
Perché le Web Shell sono difficili da individuare?
La sfida principale nel rilevamento delle web shell è rappresentata dai sottili script di web shell incorporati nei file legittimi. È come cercare un ago in un pagliaio digitale.
Inoltre, il malware della web shell spesso si presenta come un normale processo sul software del server web, integrandosi perfettamente con le operazioni regolari. Questo rende gli incontri con le web shell difficili da individuare senza soluzioni avanzate di rilevamento e risposta degli endpoint (EDR).
Le web shell utilizzano comunicazioni criptate, oscurando le loro attività. Si modificano e si camuffano per evitare il rilevamento. Molte soluzioni non sono in grado di rilevare le sofisticate tecniche di web shell injection.
Inoltre, gli sviluppatori di shell web utilizzano spesso tecniche polimorfiche, alterando dinamicamente la struttura e l’aspetto del codice senza modificarne la funzionalità di base.
Questa capacità di morphing rende difficile per i metodi di rilevamento tradizionali basati sulle firme tenere il passo, poiché la shell web può presentare ogni volta un “volto” diverso.
Strumenti per rilevare gli attacchi alla Web Shell
I moderni software antivirus e gli strumenti riportati di seguito ti aiuteranno a individuare le conchiglie web. Utilizzali insieme per ottenere la diagnosi e i risultati migliori.
- Un Web Application Firewall (WAF): Monitora e filtra il traffico HTTP per bloccare i tentativi dannosi, comprese le iniezioni di shell web. Esempi: Open Appsec, Cloudflare.
- Strumenti di scansione e controllo della sicurezza: Identifica e correggi le vulnerabilità della shell web con strumenti come ZAP Attack Proxy e Acunetix.
- Sistemi di monitoraggio dell’integrità dei file (FIM): Rilevano le modifiche non autorizzate ai file critici, segnalando potenziali attività di shell web. Esempi: Tripwire e OSSEC.
Oltre a questi strumenti, segui le best practice per la sicurezza delle applicazioni web, come aggiornamenti regolari, controlli degli accessi e revisioni della sicurezza.
Come bloccare le iniezioni di shell web?
In genere, un attacco shell inizia con lo sfruttamento da parte dell’aggressore di una vulnerabilità nel software del tuo server, che gli consente di iniettare codice dannoso. Potrebbe farlo attraverso un’iniezione SQL, in cui manipola le query del database, o un attacco Cross-Site Scripting (XSS), iniettando script in siti web affidabili. Un’altra falla è rappresentata dalle interfacce di amministrazione esposte che consentono di accedere alle funzionalità amministrative senza richiedere il login.
Per bloccarli, devi aggiornare e patchare regolarmente il tuo software e utilizzare un firewall per applicazioni web. Inoltre, assicurati di utilizzare pratiche di codifica sicure per evitare potenziali punti deboli che gli aggressori potrebbero sfruttare. I sistemi di gestione dei contenuti più diffusi e i componenti aggiuntivi, come i plugin di WordPress, sono un punto di accesso frequente per gli aggressori.
È altrettanto importante utilizzare la convalida lato server per bloccare potenziali iniezioni. La validazione lato server controlla i dati inviati al tuo server dal browser dell’utente.
Scegli un modo sicuro per parlare con i programmi del computer: scegli un’API (Application Program Interface) che non utilizzi l’interprete (un programma che esegue direttamente le istruzioni scritte in un linguaggio di programmazione o di scripting) o scegli un sistema simile a un menu (interfaccia parametrizzata).
In fondo, la linea di fondo
Imparando a conoscere gli attacchi delle web shell, hai ampliato la tua consapevolezza in materia di cybersicurezza e ora sei meglio equipaggiato per mantenere i tuoi sistemi al sicuro.
Essere proattivi e stare sempre un passo avanti è la chiave per combattere le incessanti minacce informatiche. Per bloccare gli attacchi di web shell, costruisci solidi meccanismi di sicurezza, utilizza gli strumenti di scansione più recenti e dai priorità agli aggiornamenti regolari del sistema.
Ora che sai come prevenire un attacco di web shell, puoi migliorare notevolmente le tue applicazioni web e proteggere gli utenti e i dati da violazioni della sicurezza e perdite finanziarie.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10






