Webshell的常见检测方法与靠谱工具推荐

最新推荐文章于 2024-06-01 15:24:59 发布
最新推荐文章于 2024-06-01 15:24:59 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: webshell web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27979907/article/details/106687184
版权

目录

webshell简介
Webshell检测
1静态检测
2文件属性检测
3流量(日志)检测
4动态检测
5统计学检测
6常见的靠谱检测工具

Webshell简介

安全人员所说的Webshell的web指的是在web服务器,而shell是用脚本语言编写的脚本程序,Webshell通常是一个可执行的脚本文件。攻击者在入侵时,通常要通过各种方式取得webshell,从而获得网站的控制权,然后进行之后的进一步入侵行为。
Webshell常见的获取手法包括:直接上传webshell、SQL注入上传、远程文件包含(RFI)、FTP、通过后台提供的数据恢复等功能、数据库压缩等。
Webshell的通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。

Webshell分类
根据shell所包含的功能可分为:大马、小马、一句话木马;根据脚本编程语言分类:jsp、asp、aspx、php、python、perl等。

Webshell检测

webshell通常是一个可执行脚本文件,对于Webshell的检测,静态文件的扫描检测是常见做法,但由于攻防技术的对抗发展和脚本语言的编码灵活性,静态文件的变形越来越多,已不足以满足检出率要求,于是出现了流量检测、运行时检测等方案。
下文详细介绍:

1 静态检测

静态文件检测是常规做法。文件静态扫描基于黑名单特征字符串、“高危函数”出现概率的组合,通常一个业务CGI(公用网关接口)文件,几乎不可能存在文件读写、命令执行、代码执行、DB操作文件上传几类函数同时出现的情况。
此方法最简单,但效果不佳。因为Webshell语法变化多远,变化灵活,变性后检测难度极大。常见特征如下:
1.1存在系统调用的命令执行函数,如eval、system、cmd_shell、assert、wScript.shell、shell.application、excute、run、shellexcute等;
1.2存在系统调用的文件操作函数,如fopen、fwrite、readdir等;
1.3存在数据库操作函数,调用系统自身的存储过程来连接数据库操作;
1.4具备很深的自身隐藏性、可伪装性,可长期潜伏到web源码中;
1.5衍生变种多,可通过自定义加解密函数、利用xor、字符串反转、压缩、截断重组等方法来绕过检测。

2 文件属性检测

通过对文件的特征进行检测:
2.1文件属主:是否为公司上线系统账户,非nginx\tomcat\nobody等应用账户;
2.2创建时间:正常文件生成时间应为上线时间或工作时间或与本路径下大部分文件一致,非此时间文件可能异常;
2.3Inode:文件为统一上传,文件的indoe应基本连续;
2.4路径:正常上传点应仅有业务所需要的文件格式,webshell文件不应出现在此路径。

3 流量(日志)检测

3.1传输特征:一些常见的webshell的http请求应该是固定的,可以通过cookie、http header、data、payload特征监测。
3.2源IP/UA特征:正常业务url将被频繁访问,webshell在一段时间内,仅被个别IP/UA访问。
3.3搜索引擎特征:正常业务url一般都有被搜索引擎爬取的痕迹。
3.4访问总量少。

4 动态监测

4.1RASP类:
由于webshell可以进行复制编码和灵活写法,静态检测遇到精心设计的免杀shell将很难匹配,RASP工作在执行层,opcode将还原webshell的意图。RASP日志将详细记录wenshell调用的Function和Param。危险的Function包括system、oppen、exec、passthru、move_upload_file、file_get_content、phpinfo
4.2HIDS类:
webshell不如反弹的shell使用方便,黑客通常会使用反弹shell得到一个交互效果更好的shell,基于此特征,可以检测应用服务器用户nginx、tomcat、nobody等用户的进程,例如:ps -ef |grep nobody|grep -v php-cgi|grep-vnginx|grep -v grep
另外,反弹shell进程的句柄(0\1)通常指向socket,或指向pipe。此思路也可以检测对抗性不强的反弹shell。
4.3机器学习:
通过机器学习算法归纳webshell特征,训练模型,与新webshell进行比对。例如:贝叶斯算法。

5 统计学检测

webshell由于往往经过了编码和加密,会表现出一些特别的统计特征,根据这些特征统计学习。目前网上说的比较多的是NeoPi提供五种检测方法:
5.1信息熵(Entropy):通过使用ASCII码表来衡量文件的不确定性;
5.2最长单词(LongestWord):最长的字符串也许潜在的被编码或被混淆;
5.3重合指数(Indexof Coincidence):低重合指数预示文件代码潜在的被加密或被混效过;
5.4特征(Signature):在文件中搜索已知的恶意代码字符串片段;
5.5压缩(Compression):对比文件的压缩比
采用这种检测方法也存在明显的弱点,NeoPi的检测重心在于识别混淆代码,它常常在识别模糊代码或者混淆编排的木马方面表现良好。未经模糊处理的代码webshell很难被NeoPi检测到。

6 一些常见的检测工具

名称平台链接检测效果
D盾(Windows)http://www.d99net.net/
河马(Windows&Linux)https://www.shellpub.com/样本检测量:1039
Linux Malware Detect(Linux)http://www.rfxn.com/projects/linux-malware-detect/
长亭牧云(Linux)https://github.com/chaitin/cloudwalker
ClamAV(Windows&Linux)https://www.clamav.net样本检测量:432
shelldetect.py(Python/PHP)https://github.com/emposha/Shell-Detector
Wangcy.
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
窃密型WebShell检测方法
01-30
前段时间由于项目的需要也因为正在负责一个后门检测工具的项目开发所以恶补了一下Webshell检测技术内容,一路天马行空写下此文和大家分享。小弟才疏学浅如有内容上的问题还请不吝指正。近年来网站被植入后门等隐蔽...
浅谈webshell检测方法
02-26
webshell中由于需要完成一些特殊的功能就不可避免的用到一些特殊的函数,我们也就可以对着特征值做检查来定位webshell,同样的webshell本身也会进行加密来躲避这种检测。下图就是一张phpwebshell的截图,它的功能...
10款常见Webshell检测工具
热门推荐
04-10 3万+
当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。本文推荐了10款Webshll检测工具,用于网站入侵排查。...
webshell检测方法归纳
计算机科研杂货铺
08-17 3969
背景 webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。 webshell检测模型 Webshell的运行流程:hacker -> HTTP Protocol -> Web Server -> CGI。简单来看就是这样一个
webshell代码免杀
LfanBQX的博客
06-01 313
Web Application Firewal(web应用防火墙),web应用防火通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品,基本可以分为以下4种软件型WAF:以软件的形式安装在服务器上面,可以接触到服务器上的文件,因此就可以检测服务器上是否有webshell,是否有文件被创建等,硬件型WAF:以硬件形式部署在链路中,支持多种部警方式。当串联到链路上时可以拦恶意流量,在旁路监听模式时只记录攻击但是不进行拦截,云 WAF。
基于机器学习的webshell检测(一)
jliang3的博客
03-08 4557
本篇主要讲述,如何使用机器学习的方法来对网络安全中常见的风险点:webshell进行检测 本篇会使用LR ,XGB两种模型进行测试, 下一篇将会使用深度学习方法来解决该问题 (1)首先我们简单介绍一下什么是webshellwebshell,是一种基于互联网web程序以及web服务器而存在的一种后门形式,主要通过网页脚本程序和服务器容器所支持的后端程序,在web服务器及其中间件中进...
webshell检测方式深度剖析 --- 行业内的实践方案
罗斯839的博客
05-07 577
行业内对webshell检测的实践方案
Web安全-文件上传漏洞(常见上传解析漏洞,常见检测方式绕过)
m0_74220316的博客
07-04 2264
Webshell是一种利用Web服务器的漏洞或弱点,通过远程上传恶意代码到服务器上(实质上是一种网页后门),并执行命令或控制服务器的一种攻击方式。在上传过后,该文件与网站服务器web目录下的正常网页文件混在一起,然后就可以通过该文件得到一个命令执行环境攻击者可以通过Webshell获取服务器的高权限,进而进行非法操作,例如修改服务器文件、数据库操作、执行系统命令等。Webshell具有隐蔽性高、操作方便等特点,常被用于非法攻击、入侵行为或用于进行系统安全评估和渗透测试。
基于python开发的webshell检测工具
最新发布
06-28
【作品名称】:基于python开发的webshell检测工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 使用说明 Usage: ...
webshell检测工具集合.zip
06-16
webshell攻击检测工具集合,包含大部分webshell检测工具
php+webshell+检测,基于PHP的Webshell自动检测
weixin_35048266的博客
04-14 474
0x00 引言看到wooyun知识库上众多大神的精彩文章,深感自身LOW到爆,故苦思冥想找来一个题目,主要求邀请码一枚,以便以后继续学习。对于网络维护人员来说,恐怕最头痛的就是网站被黑,还留下了后门,甚至连服务器都被提权。而Hacker通常在相对不易引人注目的地方留下后门。逐个排查感觉很吃力,那么,本文姑且探讨一下在PHP环境下的Webshell自动检测的可行方案。0x01 关键词检测利用正则表达...
Web安全之深度学习实战》笔记:第十一章 Webshell检测
mooyuan的博客
03-12 5571
本小节通过机器学习算法来识别webshell ,较新的知识点是opcode。 一、webshell WebShell就是以ASP、PHP、JSP或者CGI等网页文件形式存在的一种命令执行环境,也可以将其称为一种网页后门。黑客在入侵了一个网站后,通常会将ASP或PHP后门文件与网站服务器Web目录下正常的网页文件混在一起,然后就可以使用浏览器来访问ASP或者PHP后门,得到一个命令执行环境,以达到控制网站服务器的目的。顾名思义,“Web”的含义是需要服务器提供Web服务,“Shell”的含义是取得对服务器
常见webshell检测工具
qq_42430287的博客
04-12 2425
1、D盾_Web查杀 使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。 兼容性:只提供Windows版本。 工具下载地址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip 2、百度WEBDIR+ 下一代WebShell检测引擎,采用先进的动态监测技术,结合多种引擎零规则查杀。 兼容性:提供在线查杀木马,免费开放A...
常见 Webshell检测方法检测绕过思路
niuyisheng的专栏
09-22 6684
Webshell的因素 我们从一个最简单的webshell结构可以看出其基本结构:“” 从目前被公布的一句话webshell来看,基本都符合这个结构,即shell的实现需要两步:数据的传递、执行所传递的数据。 数据传递&绕过检测 对于数据传递,我们通常的做法是使用$_GET、$_POST、$_SERVER、$_COOKIE等获取客户端数据。但这类关键词如果直接出现的
文件包含漏洞拿webshell
weixin_51692662的博客
08-20 825
文件包含漏洞拿webshell
php后门拿下当前目录
aici0819的博客
03-26 369
Weevely是一个模拟类似telnet的连接的隐形PHP网页shell。它是Web应用程序后期开发的必备工具,可以作为隐形后门程序,也可以作为一个web外壳来管理合法的Web帐户,甚至可以免费托管。 weevely是一款针对PHP的webshell的自由软件,可用于模拟一个类似于telnet的连接shell,weevely通常用于web程序的漏洞利用,隐藏后门或者使用类似tel...
几点基于Web日志的Webshell检测思路
weixin_33976072的博客
05-19 266
http://www.open-open.com/lib/view/open1456751673359.html
利用webshell流量检测实验演示各种php webshell变形方法绕WAF
07-28
对于利用webshell流量检测实验演示各种php webshell变形方法绕WAF的问题,根据引用\[1\]和引用\[2\]的内容,可以提供以下回答: Webshell是一种用于获取对服务器某种程度上的操作权限的工具,而php webshell是一种通过网站端口对网站服务器进行操作的权限。在绕过Web应用程序防火墙(WAF)的过程中,可以采用多种php webshell变形方法。 其中,管理权限拿webshell(进后台)的方法包括正常上传拿webshell、数据库备份拿webshell、突破本地验证拿webshell、上传其他脚本类型拿webshell、00截断拿webshell、利用解析漏洞拿webshell、利用编辑器拿webshell、网站配置插马拿webshell、通过编辑模板拿webshell、修改脚本直接拿webshell、数据库命令执行拿webshell、添加静态页面拿webshell、文件包含拿webshell方法。\[2\] 而普通权限拿webshell(不进后台)的方法包括0day拿webshell、修改网站上传类型配置来拿webshell、IIS写入权限拿webshell、远程命令执行拿webshell、上传漏洞拿webshell、SQL注入拿webshell方法。\[2\] 综上所述,利用webshell流量检测实验演示各种php webshell变形方法绕WAF的过程中,可以根据具体情况选择适合的方法来绕过WAF的检测。 #### 引用[.reference_title] - *1* [PHP常见过waf webshell以及最简单的检测方法](https://blog.csdn.net/weixin_31900373/article/details/115193111)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [拿webshell基础方法总结](https://blog.csdn.net/m0_46230316/article/details/105644775)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值