当前位置:首页 > 技术文章 > 安全攻防 > 网络安全

关于Webshell检测的各种方法和原理

发布时间:2017-12-07 18:03:08 作者:匿名 来源:网络 点击量:

什么是Webshell

 
“Web”的含义是需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上的操作权限,常常被称为匿名用户(入侵者)通过网站端口对网站服务器的某种程度的操作权限。类似于个人电脑的cmd模式。
 
 
 
 

Webshell的用途

 
你发现并利用了一个网站的漏洞得到了Web权限但没有系统权限希望下一次能够优雅地连接系统如果你通过漏洞成功的在网站中植入了Webshell,那么一个“魔盒”就成功的存在于网站之下,而开启它的“钥匙”就掌握在你的手中。你可以通过它,获取服务器系统权限、控制“肉鸡”发起DDos攻击、篡改网站、网页挂马、作为用于隐藏自己的代理服务器、内部扫描、植入暗链/黑链等等。
 
 

检测方法与原理

 

一:基于文件的Webshell分析

 
检测是否包含Webshell特征,例如常用的各种函数。
 
检测是否加密(混淆处理)来判断是否为Webshell
 
文件hash检测,创建Webshell样本hashing库,进行对比分析可疑文件。
 
对文件的创建时间、修改时间、文件权限等进行检测,以确认是否为Webshell
 
沙箱技术,根据动态语言沙箱运行时的行为特征进行判断
 

二:基于流量的检测方式

 
基于payload的行为分析,不仅对已知Webshell进行检测,还能识别出未知的、伪装性强的Webshell。
 
对Webshell的访问特征(IP/UA/Cookie)、payload特征、path特征、时间特征等进行关联分析,以时间为索引,还原攻击事件。
 
便于部署,只需要镜像流量进行分析。
 
 

三:基于日志的Webshell分析

 
分析日志的手段往往用于被攻击后的溯源阶段,最主要的原因就是WEB日志过多,分析起来非常繁琐。而且有些黑客会在攻击后删除日志,这样就只能借助外置的审计类设备进行溯源。

本文链接:http://www.topjishu.net/article/51.html,如有转载,请注明出处!


关键词:Webshell检测,原理


版权声明:TOP技术学院所发布内容部分为原创发布,本着技术分享的精神,也有部分收集整理来自互联网,对于来源明确的内容,会严格注明出处。收集整理的内容本平台不拥有所有权,也不承担相关法律责任。如果您发现本平台中有涉嫌抄袭的内容,可以联系管理员进行举报,并提供相关证据,一经查实,本平台将立刻删除涉嫌侵权内容。
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表