Webshell的常见检测方法与靠谱工具推荐

目录

webshell简介
Webshell检测
1静态检测
2文件属性检测
3流量(日志)检测
4动态检测
5统计学检测
6常见的靠谱检测工具

Webshell简介

安全人员所说的Webshell的web指的是在web服务器,而shell是用脚本语言编写的脚本程序,Webshell通常是一个可执行的脚本文件。攻击者在入侵时,通常要通过各种方式取得webshell,从而获得网站的控制权,然后进行之后的进一步入侵行为。
Webshell常见的获取手法包括:直接上传webshell、SQL注入上传、远程文件包含(RFI)、FTP、通过后台提供的数据恢复等功能、数据库压缩等。
Webshell的通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。

Webshell分类
根据shell所包含的功能可分为:大马、小马、一句话木马;根据脚本编程语言分类:jsp、asp、aspx、php、python、perl等。

Webshell检测

webshell通常是一个可执行脚本文件,对于Webshell的检测,静态文件的扫描检测是常见做法,但由于攻防技术的对抗发展和脚本语言的编码灵活性,静态文件的变形越来越多,已不足以满足检出率要求,于是出现了流量检测、运行时检测等方案。
下文详细介绍:

1 静态检测

静态文件检测是常规做法。文件静态扫描基于黑名单特征字符串、“高危函数”出现概率的组合,通常一个业务CGI(公用网关接口)文件,几乎不可能存在文件读写、命令执行、代码执行、DB操作文件上传几类函数同时出现的情况。
此方法最简单,但效果不佳。因为Webshell语法变化多远,变化灵活,变性后检测难度极大。常见特征如下:
1.1存在系统调用的命令执行函数,如eval、system、cmd_shell、assert、wScript.shell、shell.application、excute、run、shellexcute等;
1.2存在系统调用的文件操作函数,如fopen、fwrite、readdir等;
1.3存在数据库操作函数,调用系统自身的存储过程来连接数据库操作;
1.4具备很深的自身隐藏性、可伪装性,可长期潜伏到web源码中;
1.5衍生变种多,可通过自定义加解密函数、利用xor、字符串反转、压缩、截断重组等方法来绕过检测。

2 文件属性检测

通过对文件的特征进行检测:
2.1文件属主:是否为公司上线系统账户,非nginx\tomcat\nobody等应用账户;
2.2创建时间:正常文件生成时间应为上线时间或工作时间或与本路径下大部分文件一致,非此时间文件可能异常;
2.3Inode:文件为统一上传,文件的indoe应基本连续;
2.4路径:正常上传点应仅有业务所需要的文件格式,webshell文件不应出现在此路径。

3 流量(日志)检测

3.1传输特征:一些常见的webshell的http请求应该是固定的,可以通过cookie、http header、data、payload特征监测。
3.2源IP/UA特征:正常业务url将被频繁访问,webshell在一段时间内,仅被个别IP/UA访问。
3.3搜索引擎特征:正常业务url一般都有被搜索引擎爬取的痕迹。
3.4访问总量少。

4 动态监测

4.1RASP类:
由于webshell可以进行复制编码和灵活写法,静态检测遇到精心设计的免杀shell将很难匹配,RASP工作在执行层,opcode将还原webshell的意图。RASP日志将详细记录wenshell调用的Function和Param。危险的Function包括system、oppen、exec、passthru、move_upload_file、file_get_content、phpinfo
4.2HIDS类:
webshell不如反弹的shell使用方便,黑客通常会使用反弹shell得到一个交互效果更好的shell,基于此特征,可以检测应用服务器用户nginx、tomcat、nobody等用户的进程,例如:ps -ef |grep nobody|grep -v php-cgi|grep-vnginx|grep -v grep
另外,反弹shell进程的句柄(0\1)通常指向socket,或指向pipe。此思路也可以检测对抗性不强的反弹shell。
4.3机器学习:
通过机器学习算法归纳webshell特征,训练模型,与新webshell进行比对。例如:贝叶斯算法。

5 统计学检测

webshell由于往往经过了编码和加密,会表现出一些特别的统计特征,根据这些特征统计学习。目前网上说的比较多的是NeoPi提供五种检测方法:
5.1信息熵(Entropy):通过使用ASCII码表来衡量文件的不确定性;
5.2最长单词(LongestWord):最长的字符串也许潜在的被编码或被混淆;
5.3重合指数(Indexof Coincidence):低重合指数预示文件代码潜在的被加密或被混效过;
5.4特征(Signature):在文件中搜索已知的恶意代码字符串片段;
5.5压缩(Compression):对比文件的压缩比
采用这种检测方法也存在明显的弱点,NeoPi的检测重心在于识别混淆代码,它常常在识别模糊代码或者混淆编排的木马方面表现良好。未经模糊处理的代码webshell很难被NeoPi检测到。

6 一些常见的检测工具

名称平台链接检测效果
D盾(Windows)http://www.d99net.net/
河马(Windows&Linux)https://www.shellpub.com/样本检测量:1039
Linux Malware Detect(Linux)http://www.rfxn.com/projects/linux-malware-detect/
长亭牧云(Linux)https://github.com/chaitin/cloudwalker
ClamAV(Windows&Linux)https://www.clamav.net样本检测量:432
shelldetect.py(Python/PHP)https://github.com/emposha/Shell-Detector
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
对于利用webshell流量检测实验演示各种php webshell变形方法绕WAF的问题,根据引用\[1\]和引用\[2\]的内容,可以提供以下回答: Webshell是一种用于获取对服务器某种程度上的操作权限的工具,而php webshell是一种通过网站端口对网站服务器进行操作的权限。在绕过Web应用程序防火墙(WAF)的过程中,可以采用多种php webshell变形方法。 其中,管理权限拿webshell(进后台)的方法包括正常上传拿webshell、数据库备份拿webshell、突破本地验证拿webshell、上传其他脚本类型拿webshell、00截断拿webshell、利用解析漏洞拿webshell、利用编辑器拿webshell、网站配置插马拿webshell、通过编辑模板拿webshell、修改脚本直接拿webshell、数据库命令执行拿webshell、添加静态页面拿webshell、文件包含拿webshell方法。\[2\] 而普通权限拿webshell(不进后台)的方法包括0day拿webshell、修改网站上传类型配置来拿webshell、IIS写入权限拿webshell、远程命令执行拿webshell、上传漏洞拿webshell、SQL注入拿webshell方法。\[2\] 综上所述,利用webshell流量检测实验演示各种php webshell变形方法绕WAF的过程中,可以根据具体情况选择适合的方法来绕过WAF的检测。 #### 引用[.reference_title] - *1* [PHP常见过waf webshell以及最简单的检测方法](https://blog.csdn.net/weixin_31900373/article/details/115193111)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [拿webshell基础方法总结](https://blog.csdn.net/m0_46230316/article/details/105644775)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值