目录
在互联网安全领域,检测 webshell 是一项重要的工作。以下为大家介绍几种常见的检测方式及其操作方法。
静态检测
- 原理
- 静态检测通过匹配特征码、特征值以及危险函数来查找 webshell。这种方式只能检测到已知的 webshell。如果 webshell 经过免杀处理,就很难检测到。
- 操作方法
- 利用专业的检测工具,这些工具中内置了常见的 webshell 特征码、特征值以及危险函数库。将需要检测的文件或目录导入到工具中,工具会自动进行匹配检测。例如,可以使用一些开源的文件扫描工具,指定扫描的路径为网站的文件目录,工具会逐个文件进行特征比对,一旦发现匹配的特征就会发出警报提示。
动态检测
- 原理
- 当 webshell 上传到服务器后,黑客通常会执行它,在执行过程中会表现出一些动态特征。通过对这些动态特征进行检测来发现 webshell。
- 操作方法
- 可以使用一些服务器监控软件或者安全防护软件来实时监测服务器的状态。当有可疑的进程运行或者网络连接出现异常流量时,查看对应的进程是否具有 webshell 的动态特征。比如,观察进程的网络连接行为、CPU 和内存的使用情况等。如果发现某个进程突然出现大量对外连接或者占用过高的系统资源且行为可疑,进一步分析其行为模式是否与已知的 webshell 执行特征相符。
日志检测
- 原理
- 使用 webshell 一般不会在系统日志中留下记录,但会在网站的 web 日志中留下访问数据和数据提交记录。因为 webshell 的执行是通过网页形式调用的,所以可以在网站日志文件中查找其使用的行为特征。
- 操作方法
- 定期查看网站的日志文件,分析其中的访问记录。查看是否有异常的页面访问、数据提交等情况。例如,查找一些来自未知 IP 的频繁访问特定页面的记录,或者一些带有奇怪参数的数据提交记录。可以使用文本分析工具或者日志分析软件来快速筛选出可疑的日志条目,然后进一步深入分析这些异常记录对应的行为是否与 webshell 使用有关。
语法检测
- 原理
- 根据编程语言扫描编译的实现方式,进行代码注释、变量函数、字符串以及语言结构的分析,用来捕捉关键危险函数,以实现检测目的,但可能存在误报情况。
- 操作方法
- 借助专门的语法分析工具,将需要检测的代码文件输入到工具中。工具会对代码进行深度分析,识别其中的函数调用、变量使用以及代码结构等。如果发现有使用危险函数或者存在一些异常的字符串组合等情况,工具会给出提示。在使用过程中,对于工具报出的结果,需要结合实际情况进行分析判断,排除一些因为正常文件使用类似危险函数而导致的误报情况。
通过以上几种检测方式及其操作方法,可以有效地检测出 webshell,保障网站的安全
扫一扫
4090
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
